Colin Thierry
Pubblicato il: Dicembre 9, 2022
Gruppo di analisi delle minacce di Google (TAG) ha annunciato mercoledì dettagli tecnici di una vulnerabilità zero-day utilizzata da un gruppo nordcoreano Advanced Persistent Threat (APT).
Questo difetto è stato scoperto alla fine di ottobre ed è una vulnerabilità Windows Scripting Languages Remote Code Execution (RCE) tracciata come CVE-2022-41128. Il difetto zero-day consente agli attori delle minacce di sfruttare un errore del motore JScript di Internet Explorer attraverso il codice dannoso incorporato nei documenti di Microsoft Office.
Microsoft ha affrontato per la prima volta la vulnerabilità durante il lancio della patch il mese scorso. Ha un impatto su Windows da 7 a 11 e Windows Server 2008 fino al 2022.
Secondo il TAG di Google, gli attori sostenuti dal governo nordcoreano hanno prima utilizzato come arma la vulnerabilità per usarla contro gli utenti sudcoreani. Gli attori delle minacce hanno quindi iniettato il codice dannoso nei documenti di Microsoft Office, utilizzando un riferimento a un tragico incidente a Seoul, in Corea del Sud, per attirare le loro vittime.
Inoltre, i ricercatori hanno scoperto documenti con "targeting simile", probabilmente utilizzati per sfruttare la stessa vulnerabilità.
"Il documento ha scaricato un modello remoto RTF (rich text file), che a sua volta ha recuperato contenuto HTML remoto", ha affermato il TAG di Google nel suo avviso di sicurezza. “Poiché Office esegue il rendering di questo contenuto HTML utilizzando Internet Explorer (IE), questa tecnica è stata ampiamente utilizzata per distribuire gli exploit di IE tramite i file di Office dal 2017 (ad esempio CVE-2017-0199). Fornire exploit IE tramite questo vettore ha il vantaggio di non richiedere al target di utilizzare Internet Explorer come browser predefinito, né di concatenare l'exploit con una fuga sandbox EPM.
Nella maggior parte dei casi, un documento infetto includerebbe la funzione di sicurezza Mark-of-the-Web. Pertanto, gli utenti devono disabilitare manualmente la visualizzazione protetta del documento affinché un attacco abbia successo, in modo che il codice possa recuperare il modello RTF remoto.
Sebbene Google TAG non sia riuscito a recuperare un payload finale per la campagna dannosa attribuita a questo gruppo APT, gli esperti di sicurezza hanno notato impianti simili utilizzati dagli attori delle minacce, tra cui BLUELIGHT, DOLPHIN e ROKRAT.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Detective della sicurezza
- VPN
- sicurezza del sito Web
- zefiro
