Các nhà nghiên cứu đã thêm các tin tặc được nhà nước bảo trợ vào danh sách những kẻ thù đang cố gắng khai thác lỗ hổng Follina hiện đã được vá của Microsoft. Theo các nhà nghiên cứu tại Proofpoint, các tin tặc được nhà nước bảo trợ đã cố gắng lạm dụng lỗ hổng Follina trong Microsoft Office, nhằm mục đích khai thác dựa trên email vào các mục tiêu của chính phủ Hoa Kỳ và EU thông qua các chiến dịch lừa đảo.

Các nhà nghiên cứu của Proofpoint đã phát hiện ra các cuộc tấn công và tin rằng những kẻ thù địch có quan hệ với chính phủ mà họ không xác định được. Các cuộc tấn công bao gồm các chiến dịch nhắm vào nạn nhân là nhân viên chính phủ Hoa Kỳ và EU. Các email độc hại chứa các lời rao tuyển dụng giả mạo hứa hẹn tăng 20% ​​lương và lôi kéo người nhận tải xuống tệp đính kèm kèm theo.

Văn bản nói rằng, "Bạn sẽ nhận được [20%]sic tăng lương cho bạn. " Thông báo nhắc người nhận mở tài liệu đính kèm “trước cuối tuần này” để tìm hiểu thêm.

Trong một tuyên bố dựa trên Twitter, Sherrod DeGrippo, phó chủ tịch nghiên cứu mối đe dọa tại Proofpoint, cho biết khoảng 10 khách hàng của Proofpoint đã nhận được hơn 1,000 tin nhắn như vậy.

Phần đính kèm độc hại nhắm vào lỗi thực thi mã từ xa CVE-2022-30190, được đặt tên là Follina.

Phát hiện tháng trước, lỗ hổng này đã khai thác Công cụ chẩn đoán hỗ trợ của Microsoft Windows. Như Microsoft đã giải thích trong một blog đăng bài, lỗi “tồn tại khi MSDT được gọi bằng giao thức URL từ một ứng dụng gọi điện như Word. Kẻ tấn công khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền của ứng dụng gọi điện ”.

Việc lạm dụng lỗ hổng do nhà nước tài trợ chỉ là vụ mới nhất trong một chuỗi các vụ tấn công liên quan đến Follina.

Nếu bị khai thác thành công, những kẻ tấn công có thể sử dụng lỗ hổng Follina để cài đặt chương trình, xem, thay đổi hoặc xóa dữ liệu hoặc tạo tài khoản mới trong bối cảnh được quyền của người dùng cho phép, công ty cho biết.

“Một lỗ hổng thực thi mã từ xa tồn tại khi MSDT được gọi bằng giao thức URL từ một ứng dụng gọi điện như Word,” Microsoft giải thích trong hướng dẫn của nó trên Trung tâm phản hồi bảo mật của Microsoft. “Kẻ tấn công khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền của ứng dụng gọi điện.”

Cách giải quyết của Microsoft được đưa ra khoảng sáu tuần sau khi lỗ hổng bảo mật được xác định lần đầu tiên. Các nhà nghiên cứu từ Nhóm Shadow Chaser nhận thấy nó vào ngày 12 tháng XNUMX và được vá bởi Microsoft vào tháng XNUMX.

Proofpoint cho biết tệp độc hại được sử dụng trong các chiến dịch lừa đảo tuyển dụng, nếu được tải xuống, sẽ thực thi một tập lệnh cuối cùng có thể kiểm tra môi trường ảo hóa để lạm dụng và “đánh cắp thông tin từ các trình duyệt cục bộ, ứng dụng thư và dịch vụ tệp, tiến hành kiểm tra lại máy và sau đó nén nó cho exfil . ”

Proofpoint giải thích trong một tweet, "Cuộc trinh sát mở rộng được thực hiện bởi [một] tập lệnh Powershell thứ hai cho thấy một tác nhân quan tâm đến nhiều loại phần mềm trên máy tính của mục tiêu." Các nhà nghiên cứu lưu ý rằng hành vi đó đã làm dấy lên lo ngại rằng chiến dịch có mối liên hệ với “mối quan hệ phù hợp với nhà nước”.