คอลิน เธียร์รี่
เผยแพร่เมื่อ: December 9, 2022
กลุ่มวิเคราะห์ภัยคุกคาม (TAG) ของ Google ประกาศ ในวันพุธ รายละเอียดทางเทคนิคของช่องโหว่ Zero-day ที่ใช้โดยกลุ่ม Advanced Persistent Threat (APT) ของเกาหลีเหนือ
ข้อบกพร่องนี้ถูกค้นพบในช่วงปลายเดือนตุลาคม และเป็นช่องโหว่ Windows Scripting Languages Remote Code Execution (RCE) ที่ถูกติดตามเป็น CVE-2022-41128. ข้อบกพร่อง Zero-day ช่วยให้ผู้คุกคามสามารถใช้ประโยชน์จากข้อบกพร่องของเอ็นจิ้น JScript ของ Internet Explorer ผ่านโค้ดอันตรายที่ฝังอยู่ในเอกสาร Microsoft Office
ไมโครซอฟต์ได้แก้ไขช่องโหว่ดังกล่าวเป็นครั้งแรกในการเปิดตัวแพตช์เมื่อเดือนที่แล้ว มีผลกับ Windows 7 ถึง 11 และ Windows Server 2008 ถึง 2022
ตาม TAG ของ Google ผู้มีบทบาทที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือเป็นอาวุธโจมตีช่องโหว่นี้เพื่อใช้กับผู้ใช้ชาวเกาหลีใต้ จากนั้นผู้คุกคามได้แทรกรหัสที่เป็นอันตรายลงในเอกสาร Microsoft Office โดยใช้การอ้างอิงถึงเหตุการณ์โศกนาฏกรรมในกรุงโซล ประเทศเกาหลีใต้ เพื่อหลอกล่อเหยื่อ
นอกจากนี้ นักวิจัยยังค้นพบเอกสารที่มี "การกำหนดเป้าหมายที่คล้ายกัน" ซึ่งมีแนวโน้มว่าจะถูกใช้เพื่อใช้ประโยชน์จากช่องโหว่เดียวกัน
“เอกสารดาวน์โหลดเทมเพลตรีโมตไฟล์ Rich Text (RTF) ซึ่งจะดึงเนื้อหา HTML ระยะไกล” TAG ของ Google กล่าวในคำแนะนำด้านความปลอดภัย “เนื่องจาก Office แสดงผลเนื้อหา HTML นี้โดยใช้ Internet Explorer (IE) เทคนิคนี้จึงถูกนำมาใช้อย่างแพร่หลายเพื่อเผยแพร่การใช้ประโยชน์จาก IE ผ่านไฟล์ Office ตั้งแต่ปี 2017 (เช่น CVE-2017-0199) การส่งช่องโหว่ของ IE ผ่านทางเวกเตอร์นี้มีข้อดีตรงที่ไม่ต้องการให้เป้าหมายใช้ Internet Explorer เป็นเบราว์เซอร์เริ่มต้น หรือเชื่อมโยงการโจมตีด้วยการ Escape แซนด์บ็อกซ์ EPM”
ในกรณีส่วนใหญ่ เอกสารที่ติดไวรัสจะมีฟีเจอร์ความปลอดภัย Mark-of-the-Web ดังนั้น ผู้ใช้ต้องปิดใช้งานมุมมองที่ได้รับการป้องกันของเอกสารด้วยตนเองเพื่อให้การโจมตีสำเร็จ ดังนั้นโค้ดจึงสามารถดึงแม่แบบ RTF ระยะไกลได้
แม้ว่า Google TAG จะไม่ได้กู้คืนเพย์โหลดสุดท้ายสำหรับแคมเปญที่เป็นอันตรายซึ่งมาจากกลุ่ม APT นี้ แต่ผู้เชี่ยวชาญด้านความปลอดภัยสังเกตเห็นการฝังที่คล้ายกันซึ่งใช้โดยผู้คุกคาม เช่น BLUELIGHT, DOLPHIN และ ROKRAT
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- นักสืบความปลอดภัย
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล