谷歌的威胁分析小组 (TAG) 今天透露,一群被追踪为 APT37 的朝鲜黑客利用以前未知的 Internet Explorer 漏洞(称为零日漏洞)用恶意软件感染韩国目标。
10 月 31 日,当来自韩国的多个 VirusTotal 提交者上传了一份名为“221031 Seoul Yongsan Itaewon 事故响应情况 (06:00).docx”的恶意 Microsoft Office 文档时,Google TAG 才意识到最近的这次攻击。
一旦在受害者的设备上打开,该文档将在下载一个富文本文件 (RTF) 远程模板后传递一个未知的负载,该模板将使用 Internet Explorer 呈现远程 HTML。
远程加载提供漏洞利用的 HTML 内容允许攻击者利用 IE 零日漏洞,即使目标并未将其用作默认 Web 浏览器。
该漏洞(跟踪为 CVE-2022-41128)是由于 Internet Explorer 的 JavaScript 引擎中的一个弱点,它允许成功利用它的威胁参与者在呈现恶意制作的网站时执行任意代码。
微软 在 11 月 8日的上个月补丁星期二期间对其进行了修补,这是在 10 月 31 日收到 TAG 的报告后为其分配 CVE ID 的五天后。
没有关于推送到受害者设备的恶意软件的信息
虽然 Google TAG 无法分析朝鲜黑客在其韩国目标计算机上分发的最终恶意负载,但众所周知,威胁行为者在其攻击中部署了范围广泛的恶意软件。
Google TAG 的 Clement Lecigne 和 Benoit Stevens 说:“虽然我们没有为这次活动恢复最终的有效载荷,但我们之前观察到同一组提供了各种植入物,如 ROKRAT、BLUELIGHT 和 DOLPHIN。”
“APT37 植入程序通常滥用合法的云服务作为 C2 通道,并提供大多数后门程序的典型功能。”
APT37 已经活跃了大约十年,至少从 2012 年开始,并且之前 被 FireEye 高度信任地与朝鲜政府联系在一起。
众所周知,该威胁组织将攻击重点放在对朝鲜政权有利害关系的个人身上,包括持不同政见者、外交官、记者、人权活动家和政府雇员。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 谷歌:国家黑客仍在利用Internet Explorer零日漏洞
