קולין תיירי
קבוצת ניתוח האיומים של גוגל (TAG) הודיע ביום רביעי פרטים טכניים של פגיעות של יום אפס בשימוש על ידי קבוצה צפון קוריאנית מתקדם מתמשך (APT).
פגם זה התגלה בסוף אוקטובר, והוא פגיעות של Windows Scripting Languages Remote Code Execution (RCE) שמעקב אחריהם CVE-2022-41128. הפגם של יום האפס מאפשר לשחקני איום לנצל תקלה במנוע JScript של Internet Explorer באמצעות קוד זדוני המוטבע במסמכי Microsoft Office.
מיקרוסופט טיפלה לראשונה בפגיעות בהשקת התיקונים שלה בחודש שעבר. זה משפיע על Windows 7 עד 11 ועל Windows Server 2008 עד 2022.
לפי ה-TAG של גוגל, שחקנים הנתמכים על ידי ממשלת צפון קוריאה ניצלו לראשונה את הפגיעות כדי להשתמש בה נגד משתמשים דרום קוריאנים. לאחר מכן, שחקני האיום החדירו את הקוד הזדוני למסמכי Microsoft Office, תוך שימוש בהתייחסות לתקרית טראגית בסיאול, דרום קוריאה, כדי לפתות את קורבנותיהם.
בנוסף, חוקרים גילו מסמכים עם "מיקוד דומה", ששימשו ככל הנראה כדי לנצל את אותה פגיעות.
"המסמך הוריד תבנית מרחוק של קובץ טקסט עשיר (RTF), שבתורה הביאה תוכן HTML מרוחק", אמר TAG של גוגל בייעוץ האבטחה שלו. "מכיוון ש-Office מעבד תוכן HTML זה באמצעות Internet Explorer (IE), טכניקה זו נמצאת בשימוש נרחב להפצת ניצול IE באמצעות קובצי Office מאז 2017 (למשל CVE-2017-0199). לאספקת ניצול של IE באמצעות וקטור זה יש את היתרון בכך שהוא לא מחייב את היעד להשתמש ב-Internet Explorer כדפדפן ברירת המחדל שלו, וגם לא לשרשר את הניצול עם EPM Sandbox Escape."
ברוב המקרים, מסמך נגוע יכלול את תכונת האבטחה Mark-of-the-Web. לפיכך, על המשתמשים להשבית באופן ידני את התצוגה המוגנת של המסמך על מנת שהתקפה תצליח, כך שהקוד יוכל לאחזר את תבנית ה-RTF המרוחקת.
למרות ש-Google TAG לא שחזר בסופו של דבר מטען סופי עבור מסע הפרסום הזדוני המיוחס לקבוצת APT זו, מומחי אבטחה הבחינו בשתלים דומים שבהם השתמשו גורמי האיום, כולל BLUELIGHT, DOLPHIN ו-ROKRAT.
