Microsoft предупреждает, что атаки Log4j остаются серьезной угрозой

Исследователи кибербезопасности из группы анализа угроз Google (TAG) обнаружили уязвимость нулевого дня в браузере Internet Explorer (IE) (opens in a new tab), которую использовал известный северокорейский хакер.

В сообщении в блоге (откроется в новой вкладке), в котором подробно описываются их результаты, группа сообщила, что видела группу APT37 (также известную как Erebus), нацеленную на людей в Южной Корее с помощью файла Microsoft Word, предназначенного для использования в качестве оружия.

Файл называется «221031 Seoul Yongsan Itaewon Accident Response Situation (06:00).docx» и относится к недавней трагедии, произошедшей в Итхэвоне, Сеул, во время празднования Хэллоуина в этом году, когда погибло не менее 158 человек. , еще 200 раненых. Злоумышленники, очевидно, хотели воспользоваться вниманием общественности и СМИ к инциденту.

Злоупотребление старыми недостатками

Проанализировав доставленный документ, TAG обнаружил, что он загрузил удаленный шаблон Rich Text File (RTF) в конечную точку назначения, которая затем извлекла удаленное содержимое HTML. Microsoft, возможно, удалила Internet Explorer и заменила его на Edge, но Office по-прежнему отображает HTML-контент с помощью IE, что является известным фактом, которым злоумышленники злоупотребляют как минимум с 2017 года, объявленным TAG.

Теперь, когда Office отображает HTML-контент с помощью IE, злоумышленники могут злоупотреблять уязвимостью нулевого дня, которую они обнаружили в движке JScript IE.

Команда обнаружила уязвимость в «jscript9.dll», движке JavaScript Internet Explorer, который позволял хакерам выполнять произвольный код при отображении веб-сайта под их контролем.

Microsoft была уведомлена 31 октября 2022 г., через три дня уязвимость была отмечена как CVE-2022-41128, а 8 ноября было выпущено исправление.

Хотя этот процесс пока только компрометирует устройство, TAG не понял, с какой целью. По его словам, он не нашел окончательной полезной нагрузки APT37 для этой кампании, но добавил, что в прошлом группа была замечена в доставке вредоносных программ, таких как Rokrat, Bluelight или Dolphin. .

Через: The Verge (откроется в новой вкладке)

Поделиться