正如第一次報導TechCrunch,朝鮮黑客是互聯網探索者零日脆弱性的漏洞。這是Google的威脅分析小組首先公開的信息。
據報導,朝鮮演員主要針對韓國用戶使用上述惡意軟件。
朝鮮黑客利用零日脆弱性
已公開發布但尚未固定的系統或設備中的漏洞被稱為零日漏洞。零日利用是針對零日漏洞的利用。借助Explorer零日,涉嫌黑客的惡意軟件將其掩蓋為有爭議的文件,將其傳播。
漏洞是由Google發現的威脅分析小組(標籤)10月下旬。已經確定它已插入惡意文件中,並用於針對韓國的用戶。 TAG將這種行為歸因於APT37,這是一群朝鮮政府支持的演員。
CVE-2022-41128是JScript引擎中0天的Internet Explorer,用於創建這些惡意頁面。
根據TAG的說法,這並不是APT37首次使用Internet Explorer 0天的利用來針對受害者。以前,該組織針對韓國用戶,朝鮮叛逃者,政策制定者,記者和人權支持者。
當用戶打開“漏洞”文檔時,它下載了一個富文本文件(RTF)遠程模板,該模板將導致Internet Explorer呈現遠程HTML。Microsoft Edge6月正式取代了Internet Explorer。但是,Office仍然使用Explorer Engine運行促進攻擊的JavaScript。
黑客使用假的Itaewon事件文件引誘受害者
多個韓國用戶報告了10月下旬通過上傳到病毒。
據發現,該文件標題為“ 221031首爾揚山伊代恩事故響應情況(06:00).docx”是指10月29日在首爾發生的悲劇性萬聖節事件。該誘餌文件利用了事故中的公共利益,尤其是在韓國公民中。
正如Google Tag團隊的Clement Lecigne和Benoit Sevens所說,這種方法自2017年以來一直在使用Office文件分發IE漏洞。使用此矢量傳遞IE漏洞利用程序不需要受害者使用Internet Explorer作為主要瀏覽器,也不需要使用EPM Sandbox Escape鏈接漏洞。
考試後,Google團隊發現攻擊者在Internet Explorer的JScript引擎中使用了0天的漏洞。 10月31日,TAG通知了Microsoft,並於11月3日分配了CVE-2022-41128。五天后微軟最終修補了漏洞。
據報導,2021年8月,同一小組使用相同的技術攻擊。 Volexity在部落格它已經調查了一份有關朝鮮報導的韓國在線報紙的戰略網絡妥協。 Volexity通過新聞網站發現了可疑代碼已加載到惡意子域中。
保持在Tech Times。
