Colin Thierry
Google'ın Tehdit Analizi Grubu (TAG) açıkladı Çarşamba günü, bir Kuzey Koreli Gelişmiş Kalıcı Tehdit (APT) grubu tarafından kullanılan sıfır günlük bir güvenlik açığının teknik ayrıntıları.
Bu kusur, Ekim ayının sonlarında keşfedildi ve şu şekilde izlenen bir Windows Komut Dosyası Dilleri Uzaktan Kod Yürütme (RCE) güvenlik açığıdır. CVE-2022-41128. Sıfır gün kusuru, tehdit aktörlerinin Microsoft Office belgelerine katıştırılmış kötü amaçlı kod aracılığıyla bir Internet Explorer JScript altyapısı hatasından yararlanmasına olanak tanır.
Microsoft, güvenlik açığını ilk olarak geçen ay yama dağıtımında ele aldı. Windows 7'den 11'e ve Windows Server 2008'den 2022'ye kadar olan sürümleri etkiler.
Google'ın TAG'ına göre, Kuzey Kore hükümeti destekli aktörler, güvenlik açığını önce Güney Koreli kullanıcılara karşı kullanmak için silah haline getirdi. Tehdit aktörleri daha sonra, kurbanlarını cezbetmek için Güney Kore'nin Seul kentindeki trajik bir olaya atıfta bulunarak kötü amaçlı kodu Microsoft Office belgelerine yerleştirdi.
Ayrıca araştırmacılar, büyük olasılıkla aynı güvenlik açığından yararlanmak için kullanılmış olan "benzer hedeflemeye" sahip belgeler keşfettiler.
Google'ın TAG güvenlik danışma belgesinde, "Belge, bir zengin metin dosyası (RTF) uzak şablonu indirdi ve bu şablon da uzak HTML içeriğini getirdi" dedi. "Office bu HTML içeriğini Internet Explorer (IE) kullanarak işlediğinden, bu teknik 2017'den beri IE istismarlarını Office dosyaları aracılığıyla dağıtmak için yaygın olarak kullanılmaktadır (örn. CVE-2017-0199). Bu vektör aracılığıyla IE açıklarından yararlanmanın sağlanması, hedefin Internet Explorer'ı varsayılan tarayıcı olarak kullanmasını gerektirmeme veya açıkları bir EPM sanal alan kaçışıyla zincirlememe avantajına sahiptir."
Çoğu durumda, virüslü bir belge Web İşareti güvenlik özelliğini içerir. Bu nedenle, bir saldırının başarılı olması için kullanıcıların belgenin korumalı görünümünü manuel olarak devre dışı bırakması gerekir, böylece kod uzak RTF şablonunu alabilir.
Google TAG, bu APT grubuna atfedilen kötü amaçlı kampanya için nihai bir yükü kurtarmadıysa da, güvenlik uzmanları BLUELIGHT, DOLPHIN ve ROKRAT gibi tehdit aktörleri tarafından kullanılan benzer implantları fark etti.
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- Güvenlik Dedektifleri
- VPN
- web sitesi güvenliği
- zefirnet
