Colin-Thierry
Groupe d'analyse des menaces (TAG) de Google annoncé mercredi les détails techniques d'une vulnérabilité zero-day utilisée par un groupe nord-coréen Advanced Persistent Threat (APT).
Cette faille a été découverte fin octobre et est une vulnérabilité d'exécution de code à distance (RCE) des langages de script Windows suivie comme CVE-2022-41128. La faille zero-day permet aux pirates d'exploiter une faille du moteur JScript d'Internet Explorer via un code malveillant intégré dans des documents Microsoft Office.
Microsoft a d'abord abordé la vulnérabilité lors de son déploiement de correctifs le mois dernier. Cela concerne Windows 7 à 11 et Windows Server 2008 à 2022.
Selon le TAG de Google, les acteurs soutenus par le gouvernement nord-coréen ont d'abord militarisé la vulnérabilité afin de l'utiliser contre les utilisateurs sud-coréens. Les acteurs de la menace ont ensuite injecté le code malveillant dans des documents Microsoft Office, en utilisant une référence à un incident tragique à Séoul, en Corée du Sud, pour attirer leurs victimes.
De plus, les chercheurs ont découvert des documents avec un "ciblage similaire", qui étaient probablement utilisés pour exploiter la même vulnérabilité.
"Le document a téléchargé un modèle distant de fichier texte enrichi (RTF), qui à son tour a récupéré du contenu HTML distant", a déclaré le TAG de Google dans son avis de sécurité. « Étant donné qu'Office rend ce contenu HTML à l'aide d'Internet Explorer (IE), cette technique a été largement utilisée pour distribuer des exploits IE via des fichiers Office depuis 2017 (par exemple CVE-2017-0199). La diffusion d'exploits IE via ce vecteur présente l'avantage de ne pas obliger la cible à utiliser Internet Explorer comme navigateur par défaut, ni à enchaîner l'exploit avec un échappement sandbox EPM.
Dans la plupart des cas, un document infecté inclura la fonction de sécurité Mark-of-the-Web. Ainsi, les utilisateurs doivent désactiver manuellement la vue protégée du document pour qu'une attaque réussisse, afin que le code puisse récupérer le modèle RTF distant.
Bien que Google TAG n'ait pas récupéré une charge utile finale pour la campagne malveillante attribuée à ce groupe APT, les experts en sécurité ont remarqué des implants similaires utilisés par les acteurs de la menace, notamment BLUELIGHT, DOLPHIN et ROKRAT.
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- Détectives de sécurité
- VPN
- la sécurité d'un site web
- zéphyrnet
