Google cảnh báo về lỗ hổng Zero-Day của Internet Explorer bị tin tặc ScarCruft khai thác

www.tuoitre.vn -   09/12/2022 08:00:00 571

Một lỗ hổng zero-day trên Internet Explorer đã được một kẻ đe dọa ở Bắc Triều Tiên tích cực khai thác để nhắm mục tiêu đến người dùng Hàn Quốc bằng cách tận dụng đám đông Itaewon Halloween gần đây để lừa người dùng tải xuống phần mềm độc hại.

Google cảnh báo về lỗ hổng Zero-Day của Internet Explorer bị tin tặc ScarCruft khai thác

Phát hiện này, được báo cáo bởi các nhà nghiên cứu Benoît Sevens và Clément Lecigne của Nhóm phân tích mối đe dọa của Google, là tập hợp các cuộc tấn công mới nhất do ScarCruft thực hiện, còn được gọi là APT37, InkySquid, Reaper và Ricochet Chollima.

“Nhóm này có lịch sử tập trung nhắm mục tiêu vào người dùng Hàn Quốc, người đào thoát khỏi Triều Tiên, nhà hoạch định chính sách, nhà báo và nhà hoạt động nhân quyền,” TAG cho biết trong một phân tích hôm thứ Năm.

Những phát hiện mới cho thấy tác nhân đe dọa tiếp tục lạm dụng các lỗ hổng Internet Explorer như CVE-2020-1380 và CVE-2021-26411 để loại bỏ các cửa hậu như BLUELIGHT và Dolphin, những cửa sau đã được tiết lộ bởi công ty an ninh mạng ESET của Slovakia vào cuối tháng trước.

Một công cụ quan trọng khác trong kho vũ khí của nó là RokRat, một trojan truy cập từ xa dựa trên Windows có nhiều chức năng cho phép nó chụp ảnh màn hình, ghi lại các lần gõ phím và thậm chí thu thập thông tin thiết bị Bluetooth.

Chuỗi tấn công mà Google TAG quan sát được đòi hỏi phải sử dụng một tài liệu Microsoft Word độc hại đã được tải lên VirusTotal vào ngày 31 tháng 10 năm 2022. Nó lạm dụng một lỗ hổng zero-day khác của Internet Explorer trong công cụ JavaScript JScript9, CVE-2022-41128, đó là đã được Microsoft vá vào tháng trước.

Tệp đề cập đến sự cố ngày 29 tháng 10 diễn ra ở khu phố Itaewon của Seoul và khai thác sự quan tâm của công chúng đối với thảm kịch để truy xuất lỗ hổng khai thác khi mở tệp. Cuộc tấn công được kích hoạt bởi thực tế là Office hiển thị nội dung HTML bằng Internet Explorer.

Như MalwareHunterTeam đã chỉ ra, cùng một tệp Word đã được Shadow Chaser Group chia sẻ trước đó vào ngày 31 tháng 10 năm 2022, mô tả tệp này là "mẫu tệp chứa DOCX thú vị" có nguồn gốc từ Hàn Quốc.

Sau khi khai thác thành công, mã shell sẽ được cung cấp để xóa sạch mọi dấu vết bằng cách xóa bộ nhớ cache và lịch sử của Internet Explorer cũng như tải xuống giai đoạn tiếp theo.

Google TAG cho biết họ không thể khôi phục phần mềm độc hại tiếp theo được sử dụng trong chiến dịch, mặc dù nó bị nghi ngờ có liên quan đến việc triển khai RokRat, BLUELIGHT hoặc Dolphin.

Nhà phân tích phần mềm độc hại Filip Jurčacko của ESET nói với The Hacker News: “Không có gì đáng ngạc nhiên khi chúng tiếp tục nhắm mục tiêu đến người dùng Hàn Quốc. "Chúng tôi đã không thấy ScarCruft sử dụng khai thác zero-day trong một thời gian. Trước đây, họ đã tái sử dụng các PoC công khai của khai thác n-day."

"Với mức độ hiếm/khan hiếm của các khai thác zero-day, chúng tôi hy vọng ScarCruft sẽ sử dụng nó kết hợp với một số cửa hậu tinh vi hơn của họ như Dolphin. Ngoài ra, chủ đề văn phòng của các miền [command-and-control] phù hợp với các chiến dịch trước đó."

Hương

TIN CÙNG CHUYÊN MỤC

Sự phát triển của AI trong các vụ lừa đả...

17/01/2025 08:00:00 28
Sự phát triển vượt bậc của AI không chỉ tác động đến nhiều ngành công nghiệp mà còn thay đổi chiến t...

Làn sóng tấn công an ninh mạng mới: AI b...

14/01/2025 08:00:00 28
Sự phát triển vượt bậc của trí tuệ nhân tạo (AI) đã cách mạng hóa mọi khía cạnh cuộc sống, từ mua sắ...

Các sản phẩm của Kaspersky dẫn đầu về hi...

07/01/2025 08:00:00 29
Kaspersky tiếp tục thiết lập chuẩn mực mới về hiệu suất, khẳng định vị thế dẫn đầu trong lĩnh vực an...

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 167
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 135
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 389
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button