APT37利用IE0day漏洞攻击韩国用户谷歌咨询职员发掘朝鲜黑客结构APT 37欺骗IE 0 day破绽攻击韩邦用户。
本年10月,谷歌TAG咨询职员正在IE 浏览器Jscript 引擎中发掘一个0 day破绽,破绽CVE编号CVE-2022-41128。咨询职员发掘朝鲜黑客结构APT 37欺骗该破绽嵌入恶意文档,用于攻击位于韩邦的受害者。这也并非APT 37初次欺骗IE 0 day破绽欺骗攻击用户。
该诱饵文档会下载一个RTF长途模板,模板会取回长途HTML实质。由于office操纵IE 来衬托HTML实质,于是也被普通用于通过office文献传布IE破绽欺骗。谷歌咨询职员领悟发掘,攻击者滥用IE Jscript引擎中的0 day破绽来建议攻击。
该破绽位于IE Jscript惹起中的“jscript9.dll”中,攻击者欺骗该破绽可能正在衬托攻击者负责的网站时践诺轻易代码。10月31日,谷歌咨询职员将该破绽提交给了微软,CVE编号为CVE-2022-41128。微软已于2022年11月8日修复了该破绽。
诱饵文档中有mark-of-the-web标识,外白用户需求正在取回长途RTF模板之前禁用掩护视图。
正在交付长途RTF时,web任事器会正在反响中树立一个独一的cookie,正在长途HTML实质被仰求时会再次发送。破绽欺骗JS正在启动破绽欺骗之前也会验证cookie。另外,还正在正在破绽欺骗启动前和破绽欺骗得胜后向C2任事器告诉两次。谷歌咨询职员还发掘众个欺骗统一破绽的文档。
Shellcode操纵定制的哈希算法来解析Windows API。Shellcode会通过鄙人载下一阶段代码前消除全数IE缓存和史书记载来擦除全数破绽欺骗踪迹。下一阶段操纵之前树立的统一cookie来下载。
转载请注明出处:MT4平台下载
本文标题网址:APT37利用IE0day漏洞攻击韩国用户