کالین تیری
گروه تحلیل تهدیدات گوگل (TAG) اعلام کرد روز چهارشنبه جزئیات فنی یک آسیبپذیری روز صفر که توسط یک گروه تهدید دائمی پیشرفته کره شمالی (APT) استفاده میشود.
این نقص در اواخر اکتبر کشف شد و یک آسیبپذیری اجرای کد از راه دور زبانهای برنامهنویسی ویندوز (RCE) است که بهعنوان ردیابی میشود. CVE-2022-41128. نقص روز صفر به عوامل تهدید این امکان را می دهد که از خطای موتور Internet Explorer JScript از طریق کدهای مخرب تعبیه شده در اسناد مایکروسافت آفیس سوء استفاده کنند.
مایکروسافت برای اولین بار در ماه گذشته در انتشار وصله خود به این آسیب پذیری پرداخت. این ویندوز 7 تا 11 و ویندوز سرور 2008 تا 2022 را تحت تأثیر قرار می دهد.
بر اساس TAG گوگل، بازیگران تحت حمایت دولت کره شمالی ابتدا این آسیبپذیری را برای استفاده از آن علیه کاربران کرهجنوبی به سلاح تبدیل کردند. عاملان تهدید سپس کد مخرب را به اسناد مایکروسافت آفیس تزریق کردند و با اشاره به یک حادثه غم انگیز در سئول، کره جنوبی، قربانیان خود را فریب دادند.
علاوه بر این، محققان اسنادی با «هدفگیری مشابه» کشف کردند که احتمالاً برای بهرهبرداری از همین آسیبپذیری مورد استفاده قرار میگرفتند.
TAG گوگل در مشاوره امنیتی خود گفت: «این سند یک الگوی از راه دور فایل متنی غنی (RTF) را دانلود کرد که به نوبه خود محتوای HTML راه دور را دریافت کرد. از آنجایی که آفیس این محتوای HTML را با استفاده از اینترنت اکسپلورر (IE) رندر میکند، این تکنیک از سال 2017 برای توزیع اکسپلویتهای اینترنت اکسپلورر از طریق فایلهای آفیس (مانند CVE-2017-0199) بهطور گسترده مورد استفاده قرار گرفته است. ارائه اکسپلویتهای اینترنت اکسپلورر از طریق این بردار این مزیت را دارد که هدف را ملزم به استفاده از اینترنت اکسپلورر بهعنوان مرورگر پیشفرض خود نمیکند، و همچنین اکسپلویت را با یک EPM sandbox escape زنجیرهای میکند.
در بیشتر موارد، یک سند آلوده شامل ویژگی امنیتی Mark-of-the-Web است. بنابراین، کاربران باید برای موفقیت یک حمله، نمای محافظت شده سند را به صورت دستی غیرفعال کنند، بنابراین کد می تواند الگوی RTF راه دور را بازیابی کند.
اگرچه Google TAG یک بار نهایی را برای کمپین مخرب منتسب به این گروه APT بازیابی نکرد، کارشناسان امنیتی متوجه ایمپلنتهای مشابهی شدند که توسط عوامل تهدید از جمله BLUELIGHT، DOLPHIN و ROKRAT استفاده میشد.