Google cảnh báo về lỗ hổng Zero-Day của Internet Explorer bị tin tặc ScarCruft khai thác

www.tuoitre.vn -   09/12/2022 08:00:00 330

Một lỗ hổng zero-day trên Internet Explorer đã được một kẻ đe dọa ở Bắc Triều Tiên tích cực khai thác để nhắm mục tiêu đến người dùng Hàn Quốc bằng cách tận dụng đám đông Itaewon Halloween gần đây để lừa người dùng tải xuống phần mềm độc hại.

Google cảnh báo về lỗ hổng Zero-Day của Internet Explorer bị tin tặc ScarCruft khai thác

Phát hiện này, được báo cáo bởi các nhà nghiên cứu Benoît Sevens và Clément Lecigne của Nhóm phân tích mối đe dọa của Google, là tập hợp các cuộc tấn công mới nhất do ScarCruft thực hiện, còn được gọi là APT37, InkySquid, Reaper và Ricochet Chollima.

“Nhóm này có lịch sử tập trung nhắm mục tiêu vào người dùng Hàn Quốc, người đào thoát khỏi Triều Tiên, nhà hoạch định chính sách, nhà báo và nhà hoạt động nhân quyền,” TAG cho biết trong một phân tích hôm thứ Năm.

Những phát hiện mới cho thấy tác nhân đe dọa tiếp tục lạm dụng các lỗ hổng Internet Explorer như CVE-2020-1380 và CVE-2021-26411 để loại bỏ các cửa hậu như BLUELIGHT và Dolphin, những cửa sau đã được tiết lộ bởi công ty an ninh mạng ESET của Slovakia vào cuối tháng trước.

Một công cụ quan trọng khác trong kho vũ khí của nó là RokRat, một trojan truy cập từ xa dựa trên Windows có nhiều chức năng cho phép nó chụp ảnh màn hình, ghi lại các lần gõ phím và thậm chí thu thập thông tin thiết bị Bluetooth.

Chuỗi tấn công mà Google TAG quan sát được đòi hỏi phải sử dụng một tài liệu Microsoft Word độc hại đã được tải lên VirusTotal vào ngày 31 tháng 10 năm 2022. Nó lạm dụng một lỗ hổng zero-day khác của Internet Explorer trong công cụ JavaScript JScript9, CVE-2022-41128, đó là đã được Microsoft vá vào tháng trước.

Tệp đề cập đến sự cố ngày 29 tháng 10 diễn ra ở khu phố Itaewon của Seoul và khai thác sự quan tâm của công chúng đối với thảm kịch để truy xuất lỗ hổng khai thác khi mở tệp. Cuộc tấn công được kích hoạt bởi thực tế là Office hiển thị nội dung HTML bằng Internet Explorer.

Như MalwareHunterTeam đã chỉ ra, cùng một tệp Word đã được Shadow Chaser Group chia sẻ trước đó vào ngày 31 tháng 10 năm 2022, mô tả tệp này là "mẫu tệp chứa DOCX thú vị" có nguồn gốc từ Hàn Quốc.

Sau khi khai thác thành công, mã shell sẽ được cung cấp để xóa sạch mọi dấu vết bằng cách xóa bộ nhớ cache và lịch sử của Internet Explorer cũng như tải xuống giai đoạn tiếp theo.

Google TAG cho biết họ không thể khôi phục phần mềm độc hại tiếp theo được sử dụng trong chiến dịch, mặc dù nó bị nghi ngờ có liên quan đến việc triển khai RokRat, BLUELIGHT hoặc Dolphin.

Nhà phân tích phần mềm độc hại Filip Jurčacko của ESET nói với The Hacker News: “Không có gì đáng ngạc nhiên khi chúng tiếp tục nhắm mục tiêu đến người dùng Hàn Quốc. "Chúng tôi đã không thấy ScarCruft sử dụng khai thác zero-day trong một thời gian. Trước đây, họ đã tái sử dụng các PoC công khai của khai thác n-day."

"Với mức độ hiếm/khan hiếm của các khai thác zero-day, chúng tôi hy vọng ScarCruft sẽ sử dụng nó kết hợp với một số cửa hậu tinh vi hơn của họ như Dolphin. Ngoài ra, chủ đề văn phòng của các miền [command-and-control] phù hợp với các chiến dịch trước đó."

Hương

TIN CÙNG CHUYÊN MỤC

Tăng cường bảo mật, Google bổ sung tính ...

03/10/2023 12:00:00 14
Google cho biết tính năng này cho phép “người dùng làm việc với dữ liệu nhạy cảm của mình từ mọi nơi...

Để an toàn bảo mật, nên tắt 6 cài đặt nà...

02/10/2023 12:00:00 14
Có một số tính năng mới trong iOS 17 có thể xâm phạm quyền riêng tư cá nhân, gây khó chịu hoặc thậm ...

Tránh mất dữ liệu, hãy cập nhật Chrome n...

29/09/2023 12:00:00 20
Google khuyến khích người dùng nên cập nhật lên phiên bản mới nhất của trình duyệt Chrome để khắc ph...

Cập nhật Chrome ngay nếu bạn không muốn ...

28/09/2023 08:00:00 273
Google hôm thứ Tư đã tung ra các bản sửa lỗi để giải quyết lỗi zero-day mới được khai thác tích cực ...

Phát hiện phần mềm độc hại trên Android ...

28/09/2023 12:00:00 8
Khi đã lây nhiễm thành công lên smartphone của nạn nhân, Xenomorph sẽ giám sát hoạt động của nạn nhâ...

Những kẻ lừa đảo trên App Store – cảnh b...

27/09/2023 08:00:00 195
Chúng tôi đã phát hiện một số ứng dụng đầu tư lừa đảo trong App Store nhằm đánh lừa người dùng để lấ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ