Colin Thiery
Grup Analisis Ancaman Google (TAG) mengumumkan pada hari Rabu rincian teknis dari kerentanan zero-day yang digunakan oleh kelompok Advanced Persistent Threat (APT) Korea Utara.
Cacat ini ditemukan pada akhir Oktober, dan kerentanan Windows Scripting Languages Remote Code Execution (RCE) dilacak sebagai CVE-2022-41128. Cacat zero-day memungkinkan pelaku ancaman untuk mengeksploitasi kesalahan mesin Internet Explorer JScript melalui kode berbahaya yang disematkan dalam dokumen Microsoft Office.
Microsoft pertama kali mengatasi kerentanan dalam peluncuran tambalannya bulan lalu. Ini berdampak pada Windows 7 hingga 11 dan Windows Server 2008 hingga 2022.
Menurut TAG Google, aktor yang didukung pemerintah Korea Utara pertama kali mempersenjatai kerentanan untuk menggunakannya melawan pengguna Korea Selatan. Pelaku ancaman kemudian menyuntikkan kode berbahaya ke dalam dokumen Microsoft Office, menggunakan referensi ke insiden tragis di Seoul, Korea Selatan, untuk memikat korban mereka.
Selain itu, peneliti menemukan dokumen dengan "penargetan serupa", yang kemungkinan besar digunakan untuk mengeksploitasi kerentanan yang sama.
“Dokumen tersebut mengunduh template jarak jauh file teks kaya (RTF), yang pada gilirannya mengambil konten HTML jarak jauh,” kata TAG Google dalam penasihat keamanannya. “Karena Office merender konten HTML ini menggunakan Internet Explorer (IE), teknik ini telah banyak digunakan untuk mendistribusikan eksploit IE melalui file Office sejak 2017 (misalnya CVE-2017-0199). Memberikan eksploit IE melalui vektor ini memiliki keuntungan karena tidak mengharuskan target untuk menggunakan Internet Explorer sebagai browser defaultnya, atau untuk menghubungkan eksploit dengan pelarian kotak pasir EPM.”
Dalam kebanyakan kasus, dokumen yang terinfeksi akan menyertakan fitur keamanan Mark-of-the-Web. Oleh karena itu, pengguna harus menonaktifkan tampilan terproteksi dokumen secara manual agar serangan berhasil, sehingga kode dapat mengambil template RTF jarak jauh.
Meskipun Google TAG tidak berhasil memulihkan muatan akhir untuk kampanye berbahaya yang dikaitkan dengan grup APT ini, pakar keamanan menemukan implan serupa yang digunakan oleh pelaku ancaman, termasuk BLUELIGHT, DOLPHIN, dan ROKRAT.
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- Detektif Keamanan
- VPN
- website security
- zephyrnet.dll
