正如第一次报道TechCrunch,朝鲜黑客是互联网探索者零日脆弱性的漏洞。这是Google的威胁分析小组首先公开的信息。
据报道,朝鲜演员主要针对韩国用户使用上述恶意软件。
朝鲜黑客利用零日脆弱性
已公开发布但尚未固定的系统或设备中的漏洞被称为零日漏洞。零日利用是针对零日漏洞的利用。借助Explorer零日,涉嫌黑客的恶意软件将其掩盖为有争议的文件,将其传播。
漏洞是由Google发现的威胁分析小组(标签)10月下旬。已经确定它已插入恶意文件中,并用于针对韩国的用户。 TAG将这种行为归因于APT37,这是一群朝鲜政府支持的演员。
CVE-2022-41128是JScript引擎中0天的Internet Explorer,用于创建这些恶意页面。
根据TAG的说法,这并不是APT37首次使用Internet Explorer 0天的利用来针对受害者。以前,该组织针对韩国用户,朝鲜叛逃者,政策制定者,记者和人权支持者。
当用户打开“漏洞”文档时,它下载了一个富文本文件(RTF)远程模板,该模板将导致Internet Explorer呈现远程HTML。Microsoft Edge6月正式取代了Internet Explorer。但是,Office仍然使用Explorer Engine运行促进攻击的JavaScript。
黑客使用假的Itaewon事件文件引诱受害者
多个韩国用户报告了10月下旬通过上传到病毒。
据发现,该文件标题为“ 221031首尔扬山伊代恩事故响应情况(06:00).docx”是指10月29日在首尔发生的悲剧性万圣节事件。该诱饵文件利用了事故中的公共利益,尤其是在韩国公民中。
正如Google Tag团队的Clement Lecigne和Benoit Sevens所说,这种方法自2017年以来一直在使用Office文件分发IE漏洞。使用此矢量传递IE漏洞利用程序不需要受害者使用Internet Explorer作为主要浏览器,也不需要使用EPM Sandbox Escape链接漏洞。
考试后,Google团队发现攻击者在Internet Explorer的JScript引擎中使用了0天的漏洞。 10月31日,TAG通知了Microsoft,并于11月3日分配了CVE-2022-41128。五天后微软最终修补了漏洞。
据报道,2021年8月,同一小组使用相同的技术攻击。 Volexity在博客它已经调查了一份有关朝鲜报道的韩国在线报纸的战略网络妥协。 Volexity通过新闻网站发现了可疑代码已加载到恶意子域中。
保持在Tech Times。
