Colin Thierry
Googlen uhkaanalyysiryhmä (TAG) ilmoitti keskiviikkona tekniset tiedot nollapäivän haavoittuvuudesta, jota North Korean Advanced Persistent Threat (APT) -ryhmä käyttää.
Tämä virhe havaittiin lokakuun lopulla, ja se on Windows Scripting Languages Remote Code Execution (RCE) -haavoittuvuus, joka on jäljitetty nimellä CVE-2022-41128. Nollapäivän virhe antaa uhkatekijöille mahdollisuuden hyödyntää Internet Explorerin JScript-moottorin vikaa Microsoft Office -asiakirjoihin upotetun haitallisen koodin avulla.
Microsoft korjasi haavoittuvuuden ensimmäisen kerran viime kuussa julkaistussa korjaustiedostossa. Se vaikuttaa Windows 7 - 11 ja Windows Server 2008 - 2022 käyttöjärjestelmiin.
Googlen TAG:n mukaan Pohjois-Korean hallituksen tukemat toimijat asettivat ensin haavoittuvuuden käyttääkseen sitä eteläkorealaisia käyttäjiä vastaan. Uhkatoimijat ruiskuttivat haitallisen koodin Microsoft Office -asiakirjoihin käyttämällä viittausta traagiseen tapaukseen Soulissa, Etelä-Koreassa houkutellakseen uhrejaan.
Lisäksi tutkijat löysivät asiakirjoja, joissa oli "samanlainen kohdistus", joita todennäköisesti käytettiin hyväksi saman haavoittuvuuden hyväksi.
"Dokumentti latasi RTF-etämallin, joka puolestaan haki HTML-etäsisältöä", sanoi Googlen TAG tietoturvatiedotteessa. "Koska Office renderöi tämän HTML-sisällön Internet Explorerin (IE) avulla, tätä tekniikkaa on käytetty laajasti IE-hyödykkeiden jakamiseen Office-tiedostojen kautta vuodesta 2017 (esim. CVE-2017-0199). IE-hyödykkeiden toimittamisessa tämän vektorin kautta on se etu, että kohdetta ei vaadita käyttämään Internet Exploreria oletusselaimekseen eikä ketjuttaa hyväksikäyttöä EPM-hiekkalaatikon pakolla."
Useimmissa tapauksissa tartunnan saaneessa asiakirjassa on Mark-of-the-Web-suojausominaisuus. Siten käyttäjien on poistettava asiakirjan suojattu näkymä manuaalisesti käytöstä, jotta hyökkäys onnistuisi, jotta koodi voi noutaa etä RTF-mallin.
Vaikka Google TAG ei päässyt palauttamaan lopullista hyötykuormaa tälle APT-ryhmälle katsotusta haitallisesta kampanjasta, turvallisuusasiantuntijat huomasivat samanlaisia implantit, joita uhkaavat toimijat, mukaan lukien BLUELIGHT, DOLPHIN ja ROKRAT, käyttivät.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- Turvaletket
- VPN
- verkkosivuilla turvallisuus
- zephyrnet