Хакерская группа также использовала IE нулевого дня против исследователей безопасности.

Лоуренс Абрамс

  • 4 февраля 2021 г.
  • 12:07 вечера

Хакерская группа также использовала IE нулевого дня против исследователей безопасности.

Обнаружена уязвимость нулевого дня Internet Explorer, использовавшаяся в недавних северокорейских атаках на исследователей безопасности и уязвимостей.

В прошлом месяце Google сообщил, что спонсируемая государством Северная Корея хакерская группа, известная как Lazarus, проводила атаки социальной инженерии на исследователей безопасности.

Для выполнения своих атак злоумышленники создали тщательно продуманные образы онлайн-исследователей безопасности, которые затем будут использовать социальные сети для связи с известными исследователями безопасности для совместной работы над уязвимостями и использования разработок.

В рамках этого сотрудничества злоумышленники отправляли вредоносные проекты Visual Studio и ссылки на веб-сайты, на которых размещались наборы эксплойтов, которые устанавливали бэкдоры на компьютеры исследователей.

Microsoft также сообщила, что отслеживает атаку и видела, как Lazarus отправлял исследователям файлы MHTML, содержащие вредоносный javascript. Во время расследования сервер командования и управления не работал, и Microsoft не могла исследовать дополнительные полезные нагрузки.

Internet Explorer нулевого дня используется в атаках

Сегодня южнокорейская компания по кибербезопасности ENKI сообщила, что Lazarus нацелил исследователей безопасности из своей команды с помощью файлов MHTML в этой кампании социальной инженерии.

READ  Обновление VMware vRealize Cloud Management

Хотя они заявляют, что атаки не удались, они проанализировали полезные нагрузки, загруженные файлом MHT, и обнаружили, что он содержит эксплойт для уязвимости нулевого дня в Internet Explorer.

Файл MHT / MHTML, также известный как MIME HTML, представляет собой специальный формат файла, используемый Internet Explorer для хранения веб-страницы и ее ресурсов в одном архивном файле.

MHT-файл, отправленный исследователям ENKI, содержал якобы эксплойт Chrome 85 RCE и назывался Chrome_85_RCE_Full_Exploit_Code.mht.

При открытии файла MHT / MHTML автоматически запускается Internet Explorer для отображения содержимого файла MHT. ENKI сообщает, что если выполнение скрипта было разрешено, вредоносный javascript загрузил бы две полезные нагрузки, одна из которых содержала нулевой день для Internet Explorer.

Этот эксплойт злоупотребляет ошибкой двойного освобождения в IE 11, позволяя злоумышленникам загружать список запущенных процессов, снимки экрана и сетевую информацию на свой командный сервер. Затем он загрузит и выполнит дополнительный вредоносный код с сервера C2 для выполнения.

ENKI сообщили BleepingComputer, что они сообщили об ошибке в Microsoft, и позже с ними связался сотрудник Microsoft с просьбой предоставить дополнительную информацию.

READ  Видеосервис Quibi закрывается через 6 месяцев после запуска, через 1 день после выпуска приложения Apple TV

Генеральный директор Acros и соучредитель 0patch Митя Колсек сказал BleepingComputer, что он смог воспроизвести PoC нулевого дня Internet Explorer, о котором сообщает ENKI.

Основываясь на твитах других исследователей безопасности, ENKI сообщил BleepingComputer, что, по их мнению, другие исследователи знают об этом IE 11 нулевого дня.

Microsoft сообщила BleepingComputer, что они исследуют каждый отчет и предоставят обновления в будущем.

«Корпорация Майкрософт берет на себя обязательство клиентов расследовать сообщаемые проблемы безопасности, и мы будем предоставлять обновления для затронутых устройств в кратчайшие сроки». представитель Microsoft.

Источник