最近發現了一個漏洞,黑客能夠在微軟所有版本的專有 MSHTML 浏覽器引擎中執行遠程代碼,而無需安裝任何應用程序。微軟 Word 中存在一個零日漏洞,攻擊者正在利用該漏洞制作特制的文檔。
微軟的 Skype、Visual Studio 和 Microsoft Outlook 等産品以及其他一些産品也會使用 MSHTML,由于微軟的很多産品中也在使用 MSHTML,因此這個漏洞非常普遍。黑客通過制作惡意的 Word 文檔,利用 Windows 工具中的零日漏洞,從而能夠入侵微軟爲管理員提供的受保護的網絡。
谷歌旗下的反病毒服務 VirusTotal 于 5 月 25 日在其網站上檢測到了一個來自白俄羅斯 IP 地址的惡意 Word 文檔,該文檔是在周末上傳的。 安全研究員分析後發現,盡管該 word 文檔宏已經被禁用,但該惡意文檔(或稱 "malloc")仍能通過合法的微軟支持診斷工具(msdt.exe)來生成代碼。
MSDT 可通過 Windows 中的 ms-msdt URL 協議從惡意的 Word 文檔訪問,從而執行惡意軟件。現在有一個 " 故障排除程序包 " 可從 MSDT 網站下載。 朝鮮攻擊者利用惡意的微軟 Word 文檔,試圖利用安全軟件的漏洞從俄羅斯目标竊取敏感信息。
一位名叫 Cara Lin 的研究人員就一個名爲 Konni 的組織(雖然它與 Kimsuky aka APT43 有很多相似之處,但也有可能是這個組織)如何試圖以附件形式發送惡意的俄語微軟文檔發表了以下看法。該惡意軟件使用了微軟的宏代碼功能,是典型的以文件形式下載的惡意軟件。
根據攻擊者分發的文件,其中有一篇俄文文章,描述了西方對特别軍事行動進展的評估。文章指出,《黑客新聞》評論說,Konni 是一款非常值得注意的應用程序,因爲它設計的目的是對俄羅斯進行攻擊的。
大多數情況下,該組織會使用魚叉式網絡釣魚電子郵件和惡意文檔,試圖通過魚叉式網絡釣魚獲取目标端點的訪問權限。據報道,網絡安全研究人員 Knowsec 和 ThreatMon 發現了早些時候攻擊者利用 WinRAR(CVE-2023-38831)漏洞進行的攻擊。
據 ThreatMon 報道,Konni 的主要目标是在全球範圍内竊取數據和開展間諜活動。在此過程中,該組織使用了各種惡意軟件和工具來實現其目标,并經常調整策略以避免被當局發現。朝鮮黑客對俄羅斯公司的破壞并不是我們第一次看到類似的攻擊。
