Colina Thierry'ego
Opublikowany: 9 grudnia 2022 r.
Grupa analizy zagrożeń Google (TAG) ogłosił w środę szczegóły techniczne luki zero-day wykorzystywanej przez północnokoreańską grupę Advanced Persistent Threat (APT).
Ta luka została odkryta pod koniec października i jest luką w zabezpieczeniach Windows Scripting Languages Remote Code Execution (RCE) śledzoną jako CVE-2022-41128. Luka dnia zerowego umożliwia cyberprzestępcom wykorzystanie błędu silnika JScript przeglądarki Internet Explorer poprzez szkodliwy kod osadzony w dokumentach pakietu Microsoft Office.
Microsoft po raz pierwszy zajął się luką w zabezpieczeniach podczas wdrażania łatek w zeszłym miesiącu. Dotyczy systemów Windows od 7 do 11 i Windows Server 2008 do 2022.
Według TAG firmy Google, aktorzy wspierani przez rząd Korei Północnej najpierw wykorzystali tę lukę jako broń, aby wykorzystać ją przeciwko użytkownikom z Korei Południowej. Następnie cyberprzestępcy wstrzyknęli szkodliwy kod do dokumentów pakietu Microsoft Office, wykorzystując odniesienie do tragicznego incydentu w Seulu w Korei Południowej, aby zwabić swoje ofiary.
Ponadto badacze odkryli dokumenty o „podobnym celu”, które prawdopodobnie zostały wykorzystane do wykorzystania tej samej luki w zabezpieczeniach.
„Dokument pobrał zdalny szablon pliku tekstu sformatowanego (RTF), który z kolei pobrał zdalną zawartość HTML” — powiedział Google TAG w swoim poradniku bezpieczeństwa. „Ponieważ pakiet Office renderuje tę zawartość HTML za pomocą przeglądarki Internet Explorer (IE), technika ta jest szeroko stosowana do dystrybucji exploitów IE za pośrednictwem plików pakietu Office od 2017 r. (np. CVE-2017-0199). Dostarczanie exploitów IE za pośrednictwem tego wektora ma tę zaletę, że nie wymaga od celu używania Internet Explorera jako domyślnej przeglądarki ani łączenia exploita z wyjściem z piaskownicy EPM”.
W większości przypadków zainfekowany dokument zawierałby funkcję zabezpieczającą Mark-of-the-Web. Dlatego użytkownicy muszą ręcznie wyłączyć chroniony widok dokumentu, aby atak się powiódł, aby kod mógł pobrać zdalny szablon RTF.
Chociaż Google TAG nie odzyskał ostatecznego ładunku szkodliwej kampanii przypisanej tej grupie APT, eksperci ds. bezpieczeństwa zauważyli podobne implanty wykorzystywane przez cyberprzestępców, w tym BLUELIGHT, DOLPHIN i ROKRAT.
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- Detektywi bezpieczeństwa
- VPN
- zabezpieczenia stron internetowych
- zefirnet
