Google เตือนกลุ่มแฮ็คเกาหลีเหนือใช้ประโยชน์จากช่องโหว่ Zero-day สำหรับ Internet Explorer

เผยแพร่เมื่อ: December 9, 2022

กลุ่มวิเคราะห์ภัยคุกคาม (TAG) ของ Google ประกาศ ในวันพุธ รายละเอียดทางเทคนิคของช่องโหว่ Zero-day ที่ใช้โดยกลุ่ม Advanced Persistent Threat (APT) ของเกาหลีเหนือ

ข้อบกพร่องนี้ถูกค้นพบในช่วงปลายเดือนตุลาคม และเป็นช่องโหว่ Windows Scripting Languages ​​Remote Code Execution (RCE) ที่ถูกติดตามเป็น CVE-2022-41128. ข้อบกพร่อง Zero-day ช่วยให้ผู้คุกคามสามารถใช้ประโยชน์จากข้อบกพร่องของเอ็นจิ้น JScript ของ Internet Explorer ผ่านโค้ดอันตรายที่ฝังอยู่ในเอกสาร Microsoft Office

ไมโครซอฟต์ได้แก้ไขช่องโหว่ดังกล่าวเป็นครั้งแรกในการเปิดตัวแพตช์เมื่อเดือนที่แล้ว มีผลกับ Windows 7 ถึง 11 และ Windows Server 2008 ถึง 2022

ตาม TAG ของ Google ผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือเป็นอาวุธโจมตีช่องโหว่นี้เพื่อใช้กับผู้ใช้ชาวเกาหลีใต้ จากนั้นผู้คุกคามได้แทรกรหัสที่เป็นอันตรายลงในเอกสาร Microsoft Office โดยใช้การอ้างอิงถึงเหตุการณ์โศกนาฏกรรมในกรุงโซล ประเทศเกาหลีใต้ เพื่อหลอกล่อเหยื่อ

นอกจากนี้ นักวิจัยยังค้นพบเอกสารที่มี "การกำหนดเป้าหมายที่คล้ายกัน" ซึ่งมีแนวโน้มว่าจะถูกใช้เพื่อใช้ประโยชน์จากช่องโหว่เดียวกัน

“เอกสารดาวน์โหลดเทมเพลตรีโมตไฟล์ Rich Text (RTF) ซึ่งจะดึงเนื้อหา HTML ระยะไกล” TAG ของ Google กล่าวในคำแนะนำด้านความปลอดภัย “เนื่องจาก Office แสดงผลเนื้อหา HTML นี้โดยใช้ Internet Explorer (IE) เทคนิคนี้จึงถูกนำมาใช้อย่างแพร่หลายเพื่อเผยแพร่การใช้ประโยชน์จาก IE ผ่านไฟล์ Office ตั้งแต่ปี 2017 (เช่น CVE-2017-0199) การส่งช่องโหว่ของ IE ผ่านทางเวกเตอร์นี้มีข้อดีตรงที่ไม่ต้องการให้เป้าหมายใช้ Internet Explorer เป็นเบราว์เซอร์เริ่มต้น หรือเชื่อมโยงการโจมตีด้วยการ Escape แซนด์บ็อกซ์ EPM”

ในกรณีส่วนใหญ่ เอกสารที่ติดไวรัสจะมีฟีเจอร์ความปลอดภัย Mark-of-the-Web ดังนั้น ผู้ใช้ต้องปิดใช้งานมุมมองที่ได้รับการป้องกันของเอกสารด้วยตนเองเพื่อให้การโจมตีสำเร็จ ดังนั้นโค้ดจึงสามารถดึงแม่แบบ RTF ระยะไกลได้

แม้ว่า Google TAG จะไม่ได้กู้คืนเพย์โหลดสุดท้ายสำหรับแคมเปญที่เป็นอันตรายซึ่งมาจากกลุ่ม APT นี้ แต่ผู้เชี่ยวชาญด้านความปลอดภัยสังเกตเห็นการฝังที่คล้ายกันซึ่งใช้โดยผู้คุกคาม เช่น BLUELIGHT, DOLPHIN และ ROKRAT