Google cảnh báo nhóm hacker Triều Tiên khai thác lỗ hổng Zero-Day cho Internet Explorer

Dấu thời gian: Ngày 9 tháng 2022 năm 8 34:XNUMX sáng
Nút nguồn: 1769643

Colin Thierry


Colin Thierry

Được đăng trên: 9 Tháng mười hai, 2022

Nhóm phân tích mối đe dọa của Google (TAG) công bố vào thứ Tư, các chi tiết kỹ thuật về lỗ hổng zero-day được sử dụng bởi nhóm Đe dọa dai dẳng nâng cao (APT) của Bắc Triều Tiên.

Lỗ hổng này được phát hiện vào cuối tháng XNUMX và là lỗ hổng Thực thi mã từ xa (RCE) của Windows Scripting Languages ​​được theo dõi dưới dạng CVE-2022-41128. Lỗ hổng zero-day cho phép các tác nhân đe dọa khai thác lỗi công cụ JScript của Internet Explorer thông qua mã độc được nhúng trong các tài liệu Microsoft Office.

Microsoft lần đầu tiên giải quyết lỗ hổng trong buổi giới thiệu bản vá vào tháng trước. Nó ảnh hưởng đến Windows 7 đến 11 và Windows Server 2008 đến 2022.

Theo TAG của Google, các diễn viên được chính phủ Bắc Triều Tiên hậu thuẫn trước tiên đã vũ khí hóa lỗ hổng này để sử dụng nó chống lại người dùng Hàn Quốc. Sau đó, những kẻ đe dọa đã đưa mã độc vào các tài liệu Microsoft Office, sử dụng tham chiếu đến một sự cố bi thảm ở Seoul, Hàn Quốc, để dụ nạn nhân của chúng.

Ngoài ra, các nhà nghiên cứu đã phát hiện ra các tài liệu có "nhắm mục tiêu tương tự", có khả năng được sử dụng để khai thác cùng một lỗ hổng.

“Tài liệu đã tải xuống một mẫu từ xa tệp văn bản đa dạng thức (RTF), do đó, mẫu này sẽ tải xuống nội dung HTML từ xa,” TAG của Google cho biết trong lời khuyên bảo mật của mình. “Vì Office hiển thị nội dung HTML này bằng Internet Explorer (IE), nên kỹ thuật này đã được sử dụng rộng rãi để phân phối khai thác IE qua các tệp Office kể từ năm 2017 (ví dụ: CVE-2017-0199). Cung cấp các khai thác IE thông qua vectơ này có lợi thế là không yêu cầu mục tiêu sử dụng Internet Explorer làm trình duyệt mặc định của nó, cũng như không xâu chuỗi khai thác bằng một hộp cát EPM thoát.”

Trong hầu hết các trường hợp, một tài liệu bị nhiễm sẽ bao gồm tính năng bảo mật Mark-of-the-Web. Do đó, người dùng phải vô hiệu hóa chế độ xem được bảo vệ của tài liệu theo cách thủ công để cuộc tấn công thành công, do đó mã có thể truy xuất mẫu RTF từ xa.

Mặc dù Google TAG đã không khôi phục được tải trọng cuối cùng cho chiến dịch độc hại được quy cho nhóm APT này, nhưng các chuyên gia bảo mật đã nhận thấy các phần mềm cấy ghép tương tự được sử dụng bởi các tác nhân đe dọa, bao gồm BLUELIGHT, DOLPHIN và ROKRAT.

Dấu thời gian:

Thêm từ Các thám tử an toàn