Colin Thierry
Publicerad på: December 9, 2022
Googles grupp för hotanalys (TAG) meddelade på onsdag tekniska detaljer om en nolldagarssårbarhet som använts av en nordkoreansk Advanced Persistent Threat (APT) grupp.
Denna brist upptäcktes i slutet av oktober och är en sårbarhet för Windows Scripting Languages Remote Code Execution (RCE) som spåras som CVE-2022-41128. Nolldagsfelet tillåter hotaktörer att utnyttja ett Internet Explorer JScript-motorfel genom skadlig kod inbäddad i Microsoft Office-dokument.
Microsoft åtgärdade först sårbarheten i sin patch-utrullning förra månaden. Det påverkar Windows 7 till 11 och Windows Server 2008 till 2022.
Enligt Googles TAG vapenade nordkoreanska regeringsstödda aktörer först sårbarheten för att använda den mot sydkoreanska användare. Hotaktörerna injicerade sedan den skadliga koden i Microsoft Office-dokument, med en referens till en tragisk incident i Seoul, Sydkorea, för att locka sina offer.
Dessutom upptäckte forskare dokument med "liknande inriktning", som sannolikt användes för att utnyttja samma sårbarhet.
"Dokumentet laddade ner en fjärrmall med rik textfil (RTF), som i sin tur hämtade HTML-innehåll på distans", sa Googles TAG i sin säkerhetsrådgivning. "Eftersom Office renderar detta HTML-innehåll med Internet Explorer (IE), har denna teknik använts i stor utsträckning för att distribuera IE-exploater via Office-filer sedan 2017 (t.ex. CVE-2017-0199). Att leverera IE-exploater via den här vektorn har fördelen att inte kräva att målet använder Internet Explorer som sin standardwebbläsare, och inte heller kedjar exploateringen med en EPM-sandlådeescape."
I de flesta fall innehåller ett infekterat dokument säkerhetsfunktionen Mark-of-the-Web. Användare måste alltså manuellt inaktivera dokumentets skyddade vy för att en attack ska lyckas, så att koden kan hämta fjärr-RTF-mallen.
Även om Google TAG inte återfick en slutgiltig nyttolast för den skadliga kampanjen som tillskrivs denna APT-grupp, märkte säkerhetsexperter liknande implantat som användes av hotaktörerna, inklusive BLUELIGHT, DOLPHIN och ROKRAT.
