콜린 티에리
Google의 위협 분석 그룹(TAG) 발표 수요일, 북한 APT(Advanced Persistent Threat) 그룹이 사용하는 제로데이 취약점에 대한 기술적 세부 사항.
이 결함은 XNUMX월 말에 발견되었으며 다음과 같이 추적되는 Windows 스크립팅 언어 원격 코드 실행(RCE) 취약점입니다. CVE-2022-41128. 제로데이 결함은 위협 행위자가 Microsoft Office 문서에 포함된 악성 코드를 통해 Internet Explorer JScript 엔진 결함을 악용할 수 있도록 합니다.
Microsoft는 지난 달 패치 롤아웃에서 처음으로 취약점을 해결했습니다. Windows 7~11 및 Windows Server 2008~2022에 영향을 미칩니다.
Google의 TAG에 따르면 북한 정부의 지원을 받는 행위자들이 한국 사용자를 대상으로 이 취약점을 악용하기 위해 먼저 이 취약점을 무기화했습니다. 그런 다음 위협 행위자는 피해자를 유인하기 위해 대한민국 서울에서 일어난 비극적인 사건에 대한 언급을 사용하여 Microsoft Office 문서에 악성 코드를 주입했습니다.
또한 연구원들은 동일한 취약점을 악용하는 데 사용되었을 가능성이 있는 "유사한 표적" 문서를 발견했습니다.
구글의 TAG는 보안 권고에서 "이 문서는 RTF(서식 있는 텍스트 파일) 원격 템플릿을 다운로드했고, 원격 HTML 콘텐츠를 가져왔다"고 말했다. “Office는 Internet Explorer(IE)를 사용하여 이 HTML 콘텐츠를 렌더링하기 때문에 이 기술은 2017년부터 Office 파일을 통해 IE 익스플로잇을 배포하는 데 널리 사용되었습니다(예: CVE-2017-0199). 이 벡터를 통해 IE 익스플로잇을 제공하면 대상이 Internet Explorer를 기본 브라우저로 사용하거나 익스플로잇을 EPM 샌드박스 이스케이프와 연결할 필요가 없다는 이점이 있습니다.”
대부분의 경우 감염된 문서에는 Mark-of-the-Web 보안 기능이 포함됩니다. 따라서 공격이 성공하려면 사용자가 문서의 보호된 보기를 수동으로 비활성화해야 코드가 원격 RTF 템플릿을 검색할 수 있습니다.
Google TAG는 이 APT 그룹에 기인한 악성 캠페인의 최종 페이로드를 복구하지 못했지만, 보안 전문가들은 BLUELIGHT, DOLPHIN, ROKRAT 등 위협 행위자가 사용하는 유사한 임플란트를 발견했습니다.
