科林蒂埃里
Google 的威胁分析小组 (TAG) 公布 周三,朝鲜高级持续威胁 (APT) 组织使用的零日漏洞的技术细节。
此缺陷于 XNUMX 月下旬被发现,是一个 Windows 脚本语言远程代码执行 (RCE) 漏洞,被跟踪为 CVE-2022-41128. 零日漏洞允许威胁参与者通过嵌入在 Microsoft Office 文档中的恶意代码利用 Internet Explorer JScript 引擎故障。
微软在上个月推出的补丁中首次解决了该漏洞。 它会影响 Windows 7 到 11 和 Windows Server 2008 到 2022。
根据谷歌的 TAG,朝鲜政府支持的行为者首先将该漏洞武器化,以便利用它来对付韩国用户。 然后,威胁行为者将恶意代码注入到 Microsoft Office 文档中,引用韩国首尔的一起悲惨事件来引诱受害者。
此外,研究人员还发现了具有“相似目标”的文档,这些文档可能被用来利用相同的漏洞。
“该文档下载了一个富文本文件 (RTF) 远程模板,该模板又获取了远程 HTML 内容,”谷歌的 TAG 在其安全公告中说。 “由于 Office 使用 Internet Explorer (IE) 呈现此 HTML 内容,因此自 2017 年以来,该技术已被广泛用于通过 Office 文件分发 IE 漏洞(例如 CVE-2017-0199)。 通过此向量提供 IE 漏洞的优点是不需要目标使用 Internet Explorer 作为其默认浏览器,也不需要将漏洞与 EPM 沙箱逃逸链接起来。”
在大多数情况下,受感染的文档会包含 Mark-of-the-Web 安全功能。 因此,用户必须手动禁用文档的受保护视图才能使攻击成功,这样代码才能检索远程 RTF 模板。
尽管 Google TAG 最终并未恢复归因于该 APT 组织的恶意活动的最终有效载荷,但安全专家注意到威胁参与者使用了类似的植入物,包括 BLUELIGHT、DOLPHIN 和 ROKRAT。
