Google warnt vor nordkoreanischer Hackergruppe, die Zero-Day-Schwachstelle für Internet Explorer ausnutzt

Neuauflage von Plato

Verfolger: 0

Colin Thierry

Veröffentlicht am: 9. Dezember 2022

Googles Threat Analysis Group (TAG) angekündigt am Mittwoch technische Details einer Zero-Day-Schwachstelle, die von einer nordkoreanischen Advanced Persistent Threat (APT)-Gruppe verwendet wird.

Dieser Fehler wurde Ende Oktober entdeckt und ist eine Windows Scripting Languages Remote Code Execution (RCE)-Schwachstelle, die als verfolgt wird CVE-2022-41128. Die Zero-Day-Lücke ermöglicht es Angreifern, einen Fehler der JScript-Engine des Internet Explorers durch bösartigen Code auszunutzen, der in Microsoft Office-Dokumente eingebettet ist.

Microsoft hat die Sicherheitsanfälligkeit erstmals im vergangenen Monat in seinem Patch-Rollout behoben. Es betrifft Windows 7 bis 11 und Windows Server 2008 bis 2022.

Laut TAG von Google haben von der nordkoreanischen Regierung unterstützte Akteure die Schwachstelle zuerst bewaffnet, um sie gegen südkoreanische Benutzer einzusetzen. Die Bedrohungsakteure fügten dann den bösartigen Code in Microsoft Office-Dokumente ein, wobei sie einen Hinweis auf einen tragischen Vorfall in Seoul, Südkorea, verwendeten, um ihre Opfer anzulocken.

Darüber hinaus entdeckten Forscher Dokumente mit „ähnlichem Targeting“, die wahrscheinlich verwendet wurden, um dieselbe Schwachstelle auszunutzen.

„Das Dokument hat eine RTF-Vorlage (Rich Text File) heruntergeladen, die wiederum HTML-Inhalte aus der Ferne abgerufen hat“, sagte TAG von Google in seiner Sicherheitsempfehlung. „Da Office diese HTML-Inhalte mit dem Internet Explorer (IE) rendert, ist diese Technik seit 2017 weit verbreitet, um IE-Exploits über Office-Dateien zu verbreiten (z. B. CVE-2017-0199). Die Bereitstellung von IE-Exploits über diesen Vektor hat den Vorteil, dass das Ziel weder den Internet Explorer als Standardbrowser verwenden muss, noch den Exploit mit einem EPM-Sandbox-Escape verketten muss.“

In den meisten Fällen enthält ein infiziertes Dokument die Mark-of-the-Web-Sicherheitsfunktion. Daher müssen Benutzer die geschützte Ansicht des Dokuments manuell deaktivieren, damit ein Angriff erfolgreich ist, damit der Code die Remote-RTF-Vorlage abrufen kann.

Obwohl Google TAG keine endgültige Nutzlast für die dieser APT-Gruppe zugeschriebene böswillige Kampagne wiederherstellen konnte, bemerkten Sicherheitsexperten ähnliche Implantate, die von den Bedrohungsakteuren verwendet wurden, darunter BLUELIGHT, DOLPHIN und ROKRAT.

Zeitstempel: 9. Dezember 20229. Dezember 2022

CISA unterstützt Agenturen mit endgültigen Leitlinien für sichere Cloud-Dienste

Quellcluster:

Sicherheitsdetektive

Quellknoten: 2150855

Zeitstempel: 28. Juni 2023

Google warnt vor nordkoreanischer Hacking-Gruppe, die Zero-Day-Fehler für Internet Explorer ausnutzt

Neuauflage von Plato

Mehr von Sicherheitsdetektive

Systeme von Versicherungsanbietern sind nach „Cybersicherheitsvorfall“ offline

Binance zahlt über 4 Milliarden US-Dollar im Fall einer historischen Kryptowährung

Verizon warnt Prepaid-Kunden vor neuerlicher Sicherheitsverletzung

Das Windows 11-Update verlangsamt VPN-Verbindungen

Proton bietet vor Wahlen kostenlose VPN-Server an

Interview mit Brad Ree – ioXt Alliance

Die britische Cybersicherheitsbehörde warnt vor einem möglichen Einfluss von KI auf Wahlen

Interpol schließt „Sextortion“-Ring in Hongkong

RubyGems schreibt Multi-Faktor-Authentifizierung für beliebte Projekte vor

Ransomware-Gruppe veröffentlicht Sony-Videospielpläne

CISA unterstützt Agenturen mit endgültigen Leitlinien für sichere Cloud-Dienste

Über uns

Vertikale Suche & Ai

Plattform

Bleiben Sie in Verbindung

Konto