Колін Тьєррі
Група аналізу загроз Google (TAG) оголошений у середу технічні деталі уразливості нульового дня, яку використовує північнокорейська група Advanced Persistent Threa (APT).
Цей недолік було виявлено наприкінці жовтня, і він є уразливістю Windows Scripting Languages Remote Code Execution (RCE), яка відстежується як CVE-2022-41128. Помилка нульового дня дозволяє зловмисникам використовувати збій ядра JScript Internet Explorer через зловмисний код, вбудований у документи Microsoft Office.
Корпорація Майкрософт вперше усунула вразливість під час випуску виправлень минулого місяця. Це впливає на Windows 7–11 і Windows Server 2008–2022.
За даними Google TAG, актори, яких підтримує уряд Північної Кореї, спочатку використовували вразливість, щоб використати її проти користувачів Південної Кореї. Потім зловмисники ввели шкідливий код у документи Microsoft Office, використовуючи посилання на трагічний інцидент у Сеулі, Південна Корея, щоб заманити своїх жертв.
Крім того, дослідники виявили документи зі «схожим націлюванням», які, ймовірно, використовувалися для використання тієї самої вразливості.
«Документ завантажив віддалений шаблон форматованого текстового файлу (RTF), який, у свою чергу, отримав віддалений HTML-вміст», — йдеться в повідомленні про безпеку Google TAG. «Оскільки Office відтворює цей HTML-контент за допомогою Internet Explorer (IE), ця техніка широко використовується для розповсюдження експлойтів IE через файли Office з 2017 року (наприклад, CVE-2017-0199). Доставка експлойтів IE за допомогою цього вектора має перевагу в тому, що ціль не потребує використання Internet Explorer як браузера за замовчуванням або зв’язування експлойту з вихідним кодом пісочниці EPM».
У більшості випадків інфікований документ міститиме функцію безпеки Mark-of-the-Web. Таким чином, користувачі повинні вручну вимкнути захищений перегляд документа, щоб атака була успішною, щоб код міг отримати віддалений шаблон RTF.
Хоча Google TAG не відновив остаточного корисного навантаження для зловмисної кампанії, приписуваної цій групі APT, експерти з безпеки помітили подібні імплантати, які використовували загрозливі особи, зокрема BLUELIGHT, DOLPHIN і ROKRAT.
- blockchain
- coingenius
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Kaspersky
- шкідливих програм
- Макафі
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- Детективи безпеки
- VPN
- безпеки веб-сайтів
- зефірнет