APT37利用IE 0 day漏洞攻击韩国用户
2022-12-13 12:6:9 Author: 嘶吼专业版(查看原文) 阅读量:12 收藏

谷歌研究人员发现朝鲜黑客组织APT 37利用IE 0 day漏洞攻击韩国用户。

今年10月,谷歌TAG研究人员在IE 浏览器Jscript 引擎中发现一个0 day漏洞,漏洞CVE编号CVE-2022-41128。研究人员发现朝鲜黑客组织APT 37利用该漏洞嵌入恶意文档,用于攻击位于韩国的受害者。这也并非APT 37首次利用IE 0 day漏洞利用攻击用户。

       使用office文档作为诱饵

10月31日,多个位于韩国的用户上传office文档到VirusTotal称其中包含恶意软件。文档名为“221031 Seoul Yongsan Itaewon accident response situation (06:00).docx”,文档是关于10月29日万圣节庆典韩国首尔梨泰院附近发生了大规模踩踏事故。该事件影响很大,因此攻击者利用这一事件作为诱饵。

图 诱饵文档截图

该诱饵文档会下载一个RTF远程模板,模板会取回远程HTML内容。因为office使用IE 来渲染HTML内容,因此也被广泛用于通过office文件传播IE漏洞利用。谷歌研究人员分析发现,攻击者滥用IE Jscript引擎中的0 day漏洞来发起攻击。

       CVE-2022-41128漏洞利用

该漏洞位于IE Jscript引起中的“jscript9.dll”中,攻击者利用该漏洞可以在渲染攻击者控制的网站时执行任意代码。10月31日,谷歌研究人员将该漏洞提交给了微软,CVE编号为CVE-2022-41128。微软已于2022年11月8日修复了该漏洞。

诱饵文档中有mark-of-the-web标识,表明用户需要在取回远程RTF模板之前禁用保护视图。

在交付远程RTF时,web服务器会在响应中设置一个唯一的cookie,在远程HTML内容被请求时会再次发送。漏洞利用JS在启动漏洞利用之前也会验证cookie。此外,还在在漏洞利用启动前和漏洞利用成功后向C2服务器报告两次。谷歌研究人员还发现多个利用同一漏洞的文档。

Shellcode使用定制的哈希算法来解析Windows API。Shellcode会通过在下载下一阶段代码前清除所有IE缓存和历史记录来擦除所有漏洞利用痕迹。下一阶段使用之前设置的同一cookie来下载。

漏洞利用PoC代码参见:https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2022/CVE-2022-41128.html

参考及来源:https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247555084&idx=2&sn=423c535e1b7ed5224eb969818f3f4dc6&chksm=e915c836de624120f7c99f11112481956b968af19eff676059a6509727f51a9aaa32cea9cf0b#rd
如有侵权请联系:admin#unsafe.sh