Colin Thierry
Publisert på: Desember 9, 2022
Googles trusselanalysegruppe (TAG) annonsert onsdag tekniske detaljer om en nulldagers sårbarhet brukt av en nordkoreansk Advanced Persistent Threat (APT) gruppe.
Denne feilen ble oppdaget i slutten av oktober, og er et Windows Scripting Languages Remote Code Execution (RCE) sårbarhet sporet som CVE-2022-41128. Zero-day-feilen lar trusselaktører utnytte en Internet Explorer JScript-motorfeil gjennom ondsinnet kode innebygd i Microsoft Office-dokumenter.
Microsoft adresserte først sårbarheten i sin patch-utrulling forrige måned. Det påvirker Windows 7 til 11 og Windows Server 2008 til 2022.
I følge Googles TAG våpnet nordkoreanske regjeringsstøttede aktører først sårbarheten for å bruke den mot sørkoreanske brukere. Trusselaktørene injiserte deretter den ondsinnede koden i Microsoft Office-dokumenter, ved å bruke en referanse til en tragisk hendelse i Seoul, Sør-Korea, for å lokke ofrene sine.
I tillegg oppdaget forskere dokumenter med "lignende målretting", som sannsynligvis ble brukt til å utnytte den samme sårbarheten.
"Dokumentet lastet ned en rik tekstfil (RTF) ekstern mal, som igjen hentet eksternt HTML-innhold," sa Googles TAG i sin sikkerhetsrådgivning. "Fordi Office gjengir dette HTML-innholdet ved hjelp av Internet Explorer (IE), har denne teknikken blitt mye brukt til å distribuere IE-utnyttelser via Office-filer siden 2017 (f.eks. CVE-2017-0199). Å levere IE-utnyttelser via denne vektoren har fordelen av å ikke kreve at målet bruker Internet Explorer som standardnettleser, og heller ikke å lenke utnyttelsen med en EPM-sandbox-escape.»
I de fleste tilfeller vil et infisert dokument inneholde sikkerhetsfunksjonen Mark-of-the-Web. Dermed må brukere manuelt deaktivere dokumentets beskyttede visning for at et angrep skal lykkes, slik at koden kan hente den eksterne RTF-malen.
Selv om Google TAG ikke endte opp med å gjenopprette en endelig nyttelast for den ondsinnede kampanjen som ble tilskrevet denne APT-gruppen, la sikkerhetseksperter merke til lignende implantater som ble brukt av trusselaktørene, inkludert BLUELIGHT, DOLPHIN og ROKRAT.
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- Sikkerhetsdetektiver
- VPN
- nettside sikkerhet
- zephyrnet
