Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Google waarschuwt voor Noord-Koreaanse hackgroep die Zero-Day-fout voor Internet Explorer uitbuit

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 243

Colin Thierry Colin Thierry
Gepubliceerd op: 9 december 2022 Google waarschuwt voor Noord-Koreaanse hackgroep die Zero-Day-fout voor Internet Explorer uitbuit

De Threat Analysis Group (TAG) van Google aangekondigd woensdag technische details van een zero-day kwetsbaarheid gebruikt door een Noord-Koreaanse Advanced Persistent Threat (APT)-groep.

Deze fout werd eind oktober ontdekt en is een Windows Scripting Languages ​​Remote Code Execution (RCE)-kwetsbaarheid die werd gevolgd als CVE-2022-41128. Door de zero-day-fout kunnen aanvallers misbruik maken van een fout in de JScript-engine van Internet Explorer door middel van schadelijke code die is ingesloten in Microsoft Office-documenten.

Microsoft loste de kwetsbaarheid vorige maand voor het eerst op tijdens de uitrol van de patch. Het heeft invloed op Windows 7 tot en met 11 en Windows Server 2008 tot en met 2022.

Volgens de TAG van Google hebben door de Noord-Koreaanse regering gesteunde actoren eerst de kwetsbaarheid bewapend om deze tegen Zuid-Koreaanse gebruikers te gebruiken. De aanvallers injecteerden vervolgens de kwaadaardige code in Microsoft Office-documenten, gebruikmakend van een verwijzing naar een tragisch incident in Seoul, Zuid-Korea, om hun slachtoffers te lokken.

Bovendien ontdekten onderzoekers documenten met "vergelijkbare targeting", die waarschijnlijk werden gebruikt om dezelfde kwetsbaarheid uit te buiten.

"Het document downloadde een rich text file (RTF) externe sjabloon, die op zijn beurt externe HTML-inhoud ophaalde", aldus TAG van Google in zijn beveiligingsadvies. “Omdat Office deze HTML-inhoud weergeeft met Internet Explorer (IE), wordt deze techniek sinds 2017 veel gebruikt om IE-exploits te verspreiden via Office-bestanden (bijv. CVE-2017-0199). Het leveren van IE-exploits via deze vector heeft als voordeel dat het doelwit niet Internet Explorer als standaardbrowser hoeft te gebruiken, noch de exploit hoeft te ketenen met een EPM-sandbox-ontsnapping.”

In de meeste gevallen bevat een geïnfecteerd document de Mark-of-the-Web-beveiligingsfunctie. Gebruikers moeten dus handmatig de beveiligde weergave van het document uitschakelen om een ​​aanval te laten slagen, zodat de code de externe RTF-sjabloon kan ophalen.

Hoewel Google TAG uiteindelijk geen definitieve payload heeft teruggevonden voor de kwaadaardige campagne die aan deze APT-groep werd toegeschreven, merkten beveiligingsexperts vergelijkbare implantaten op die werden gebruikt door de bedreigingsactoren, waaronder BLUELIGHT, DOLPHIN en ROKRAT.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.