一、Google警告:ScarCruft 黑客利用了Internet Explorer中的零日漏洞(12.08)
一位来自朝鲜的威胁行为者积极利用了Internet Explorer的零日漏洞,攻击目标是韩国用户,利用最近的梨泰院万圣节人群踩踏事件来诱骗用户下载恶意软件。
详细情况
谷歌威胁分析小组的研究员Benoít Sevens和 Clément Lecigne发现了这一攻击,这是ScarCruft实施的最新一系列攻击,也被称为APT37、InkySquid、Reaper和Ricochet Chollima。
周四,TAG分析表示:“一直以来,该组织的攻击目标都集中在韩国用户、朝鲜叛逃者、决策者、记者和人权积极分子身上。”
这一新发现表明,该威胁行为者仍在滥用 CVE-2020-1380和CVE-2021-26411等Internet Explorer中的漏洞来释放BLUELIGHT和Dolphin 后门程序,Solvak网络安全公司ESET上个月底披露了后者。
其武器库中的另一个关键工具是RokRat,这是一种Windows的远程访问木马,功能众多,能够捕获屏幕截图,记录击键,甚至收集蓝牙设备信息。
Google TAG观察到的攻击链需要使用2022年10月31日上传到VirusTotal的恶意微软Word文档。它滥用了微软上个月修补的JScript9 JavaScript引擎中的另一个 Internet Explorer零日漏洞——CVE-2022-41128。
该文件利用公众对10月29日在首尔梨泰院附近发生的悲剧的兴趣,引导他们打开文件,进而利用该漏洞。这种攻击之所以能成功,是因为Office使用Internet Explorer呈现HTML内容。
正如MalwareHunterTeam指出的那样,Shadow Chaser Group此前曾在2022年10月31日分享过同样的Word文件,将其描述为起源于韩国的 “有趣的 DOCX 注入模板样本”。
成功利用漏洞后,会执行一段shellcode,该shellcode会清除Internet Explorer缓存和历史记录,以及下载下一阶段的payload,来清除所有痕迹。
Google TAG表示,虽然怀疑该恶意软件与部署RokRat、BLUELIGHT或Dolphin有关,但它无法恢复这一攻击中使用的后续恶意软件。
参考链接
https://thehackernews.com/2022/12/google-warns-of-internet-explorer-zero.html?&web_view=true
二、在野外发现了第九个被积极利用的Chrome零日漏洞(12.07)
这是今年的第九个零日漏洞,因此安全专家紧急更新了谷歌浏览器最新版本。Google TAG的Clement Lecigne披露了有关谷歌浏览器漏洞的细节。
详细信息
发生了什么?
Google证实,存在黑客可以用来攻击最近披露的Chrome 零日漏洞的利用。该漏洞被追踪为CVE-2022-4262,是ChromeV8 JavaScript引擎中一个非常严重的类型混淆缺陷。
威胁是什么?
利用Chrome 漏洞的黑客可以通过从自恶意页面提供的不可信代码来进行远程代码执行,进而导致任意代码执行。
Chrome零日漏洞还可能允许远程攻击者通过特别构造的HTML页面潜在地利用堆破坏。
修复方案
谷歌表示,已经发布谷歌浏览器新版本,修复了不同操作系统平台的零日漏洞。
已经准备好了Mac和Linux的108.0.5359.94版本和Windows系统的108.0.5359.94/.95版本。
但是,用户可能需要等待几天或几周才能获得新版本。
2022年以来的其他零日漏洞
CVE-2022-4135(11月25日)—GPU中的堆缓冲区溢出问题。
CVE-2022-3723(10月28日)—V8 Javascript引擎中的类型混淆问题。
CVE-2022-3075(9月2日)— Mojo运行库集合中的数据验证不足问题。
CVE-2022-2856(8月17日)—Intents中不可信输入的验证不足问题。
CVE-2022-2294(7月4日)—Web实时通信(WebRTC)组件中的堆缓冲区溢出问题。
CVE-2022-1364(4月14日)—V8 JavaScript引擎中存在的类型混淆问题。
CVE-2022-1096(3月25日)— V8 JavaScript 引擎中的类型混淆。
CVE-2022-0609(2月14日)—动画组件中的释放后重用问题。
参考链接
https://cyware.com/news/ninth-actively-exploited-chrome-zero-day-spotted-in-the-wild-725fc5b0