Колин Тьерри
Группа анализа угроз Google (TAG) объявило в среду технические подробности об уязвимости нулевого дня, используемой северокорейской группой Advanced Persistent Threat (APT).
Эта уязвимость была обнаружена в конце октября и представляет собой уязвимость Windows Scripting Languages Remote Code Execution (RCE), отслеживаемую как CVE-2022-41128. Уязвимость нулевого дня позволяет злоумышленникам использовать сбой ядра JScript Internet Explorer с помощью вредоносного кода, встроенного в документы Microsoft Office.
Microsoft впервые устранила уязвимость в выпуске патча в прошлом месяце. Это влияет на Windows 7–11 и Windows Server 2008–2022.
По данным TAG Google, поддерживаемые правительством Северной Кореи субъекты первыми применили уязвимость в качестве оружия, чтобы использовать ее против южнокорейских пользователей. Затем злоумышленники внедрили вредоносный код в документы Microsoft Office, используя отсылку к трагическому инциденту в Сеуле, Южная Корея, чтобы заманить своих жертв.
Кроме того, исследователи обнаружили документы с «похожим таргетингом», которые, вероятно, использовались для использования той же уязвимости.
«Документ загрузил удаленный шаблон форматированного текстового файла (RTF), который, в свою очередь, получил удаленный HTML-контент», — говорится в сообщении TAG Google. «Поскольку Office отображает этот HTML-контент с помощью Internet Explorer (IE), этот метод широко используется для распространения эксплойтов IE через файлы Office с 2017 года (например, CVE-2017-0199). Преимущество доставки эксплойтов IE с помощью этого вектора заключается в том, что не требуется, чтобы цель использовала Internet Explorer в качестве браузера по умолчанию, а также связывать эксплойт с выходом из песочницы EPM».
В большинстве случаев зараженный документ будет включать функцию безопасности Mark-of-the-Web. Таким образом, пользователи должны вручную отключить защищенное представление документа, чтобы атака прошла успешно, чтобы код мог получить удаленный шаблон RTF.
Хотя Google TAG так и не удалось восстановить окончательные полезные данные для вредоносной кампании, приписываемой этой APT-группе, эксперты по безопасности заметили аналогичные импланты, используемые злоумышленниками, включая BLUELIGHT, DOLPHIN и ROKRAT.
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- Детективы безопасности
- VPN
- безопасности веб-сайтов
- зефирнет
