コリン・ティエリー
Google の脅威分析グループ (TAG) 発表の 北朝鮮の持続的標的型攻撃 (APT) グループによって使用されたゼロデイ脆弱性の技術的な詳細が水曜日に発表されました。
この脆弱性は XNUMX 月下旬に発見されたもので、Windows スクリプト言語のリモート コード実行 (RCE) の脆弱性であり、次のように追跡されています。 CVE-2022-41128. ゼロデイ脆弱性により、攻撃者は、Microsoft Office ドキュメントに埋め込まれた悪意のあるコードを介して、Internet Explorer JScript エンジンの障害を悪用することができます。
Microsoft は、先月のパッチ ロールアウトでこの脆弱性に最初に対処しました。 これは、Windows 7 ~ 11 および Windows Server 2008 ~ 2022 に影響します。
Google の TAG によると、北朝鮮政府が支援する攻撃者は、韓国のユーザーに対して使用するために、最初に脆弱性を武器にしました。 次に攻撃者は、被害者をおびき寄せるために、韓国のソウルで起きた悲劇的な事件への言及を使用して、悪意のあるコードを Microsoft Office ドキュメントに挿入しました。
さらに、研究者は、同じ脆弱性を悪用するために使用された可能性が高い「類似の標的」を持つ文書を発見しました。
「ドキュメントはリッチ テキスト ファイル (RTF) リモート テンプレートをダウンロードし、それがさらにリモート HTML コンテンツをフェッチした」と Google の TAG はセキュリティ アドバイザリで述べています。 「Office は Internet Explorer (IE) を使用してこの HTML コンテンツをレンダリングするため、この手法は 2017 年以降、Office ファイルを介して IE エクスプロイトを配布するために広く使用されてきました (例: CVE-2017-0199)。 このベクトルを介して IE エクスプロイトを配信すると、ターゲットが Internet Explorer をデフォルト ブラウザとして使用する必要がなく、EPM サンドボックス エスケープでエクスプロイトを連鎖させる必要がないという利点があります。」
ほとんどの場合、感染したドキュメントには Mark-of-the-Web セキュリティ機能が含まれています。 したがって、攻撃が成功するためには、ユーザーはドキュメントの保護されたビューを手動で無効にする必要があります。これにより、コードはリモート RTF テンプレートを取得できます。
Google TAG は、この APT グループに起因する悪意のあるキャンペーンの最終的なペイロードを回復することにはなりませんでしたが、セキュリティの専門家は、BLUELIGHT、DOLPHIN、ROKRAT などの攻撃者によって使用された同様のインプラントに気付きました。