Colin Thierry
Publicat în data de: December 9, 2022
Grupul Google de analiză a amenințărilor (TAG) a anunțat miercuri detalii tehnice despre o vulnerabilitate zero-day utilizată de un grup nord-coreean Advanced Persistent Threat (APT).
Această defecțiune a fost descoperită la sfârșitul lunii octombrie și este o vulnerabilitate Windows Scripting Languages Remote Code Execution (RCE) urmărită ca CVE-2022-41128. Defectul zero-day permite actorilor amenințărilor să exploateze o eroare a motorului Internet Explorer JScript prin cod rău intenționat încorporat în documentele Microsoft Office.
Microsoft a abordat pentru prima dată această vulnerabilitate în lansarea patch-urilor luna trecută. Afectează Windows 7 până la 11 și Windows Server 2008 până în 2022.
Potrivit TAG Google, actorii susținuți de guvernul nord-coreean au armat mai întâi vulnerabilitatea pentru a o folosi împotriva utilizatorilor sud-coreeni. Actorii amenințărilor au injectat apoi codul rău intenționat în documentele Microsoft Office, folosind o referire la un incident tragic din Seul, Coreea de Sud, pentru a-și atrage victimele.
În plus, cercetătorii au descoperit documente cu „direcționare similară”, care au fost probabil folosite pentru a exploata aceeași vulnerabilitate.
„Documentul a descărcat un șablon de la distanță de fișier text îmbogățit (RTF), care, la rândul său, a preluat conținut HTML la distanță”, a spus TAG Google în avizul său de securitate. „Deoarece Office redă acest conținut HTML folosind Internet Explorer (IE), această tehnică a fost utilizată pe scară largă pentru a distribui exploit-uri IE prin fișiere Office din 2017 (de exemplu, CVE-2017-0199). Livrarea exploatărilor IE prin acest vector are avantajul de a nu cere țintei să folosească Internet Explorer ca browser implicit și nici să conecteze exploit-ul cu o evadare EPM sandbox.”
În cele mai multe cazuri, un document infectat ar include caracteristica de securitate Mark-of-the-Web. Astfel, utilizatorii trebuie să dezactiveze manual vizualizarea protejată a documentului pentru ca un atac să reușească, astfel încât codul să poată prelua șablonul RTF de la distanță.
Deși Google TAG nu a ajuns să recupereze o sarcină utilă finală pentru campania rău intenționată atribuită acestui grup APT, experții în securitate au observat implanturi similare folosite de actorii amenințărilor, inclusiv BLUELIGHT, DOLPHIN și ROKRAT.
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- Detectivi de siguranță
- VPN
- securitatea site-ului
- zephyrnet