Colin Thierry
Objavljeno dne: December 9, 2022
Googlova skupina za analizo groženj (TAG) razglasitve v sredo tehnične podrobnosti o ranljivosti ničelnega dne, ki jo uporablja severnokorejska skupina Advanced Persistent Threat (APT).
Ta napaka je bila odkrita konec oktobra in je ranljivost sistema Windows Scripting Languages Remote Code Execution (RCE), ki se ji sledi kot CVE-2022-41128. Napaka zero-day akterjem groženj omogoča, da izkoristijo napako mehanizma JScript Internet Explorerja prek zlonamerne kode, vdelane v dokumente Microsoft Office.
Microsoft je prvič obravnaval ranljivost v svojem popravku prejšnji mesec. Vpliva na Windows 7 do 11 in Windows Server 2008 do 2022.
Glede na Googlov TAG so akterji, ki jih podpira severnokorejska vlada, najprej oborožili ranljivost, da bi jo uporabili proti južnokorejskim uporabnikom. Akterji groženj so nato zlonamerno kodo vbrizgali v dokumente Microsoft Office, pri čemer so uporabili sklicevanje na tragični incident v Seulu v Južni Koreji, da bi zvabili svoje žrtve.
Poleg tega so raziskovalci odkrili dokumente s "podobnim ciljanjem", ki so bili verjetno uporabljeni za izkoriščanje iste ranljivosti.
"Dokument je prenesel oddaljeno predlogo datoteke z obogatenim besedilom (RTF), ki je nato pridobila oddaljeno vsebino HTML," je dejal Googlov TAG v svojem varnostnem nasvetu. »Ker Office to vsebino HTML upodablja z uporabo Internet Explorerja (IE), se ta tehnika od leta 2017 pogosto uporablja za distribucijo podvigov IE prek Officeovih datotek (npr. CVE-2017-0199). Dostava izkoriščanja IE prek tega vektorja ima to prednost, da cilj ne zahteva, da uporablja Internet Explorer kot privzeti brskalnik, niti ne veriži izkoriščanja s pobegom iz peskovnika EPM.«
V večini primerov bi okuženi dokument vključeval varnostno funkcijo Mark-of-the-Web. Tako morajo uporabniki ročno onemogočiti zaščiten pogled dokumenta, da lahko napad uspe, tako da lahko koda pridobi oddaljeno predlogo RTF.
Čeprav Google TAG na koncu ni obnovil končnega tovora za zlonamerno kampanjo, pripisano tej skupini APT, so varnostni strokovnjaki opazili podobne vsadke, ki jih uporabljajo akterji groženj, vključno z BLUELIGHT, DOLPHIN in ROKRAT.
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- Varnostni detektivi
- VPN
- spletna varnost
- zefirnet
