- 13,850
- 20
- 8 Ноя 2022
Злоумышленники пытались атаковать южнокорейских пользователей с помощью “правительственных отчетов” о давке в Сеуле.
Северокорейская группировка CVE-2022-41128 в браузере Internet Explorer.против южнокорейских пользователей. Об этом Для просмотра ссылки Войди
Злоумышленники выдавали эти документы за правительственные отчеты, связанные с трагедией в районе Итхэвон, Сеул. Там во время празднования Хэллоуина произошла давка, в результате чего по меньшей мере 158 человек погибли, а 196 получили ранения.
Атака проходила по следующему сценарию:
- Жертва открыла файл, который загружал шаблон RTF с удаленного сервера;
- Этот шаблон принимал удаленный HTML-контент;
- Загрузка HTML-контента с эксплойтом позволяла использовать уязвимость нулевого дня в Internet Explorer, даже если он не был браузером по умолчанию.
0-day получила идентификатор CVE-2022-41128 и оценку 8.8 из 10 по шкале CVSS. Как говорят специалисты, эта уязвимость связана с движком [URL='/glossary/JavaScript/" class="glossary" data-content="JavaScript – это язык программирования, с помощью которого web-страницам придается интерактивность. С его помощью создаются приложения, которые включаются в HTML-код. Вся уникальность данного языка программирования заключается в том, что он поддерживается практически всеми браузерами и полностью интегрируется с ними.
" data-html="true" data-original-title="JavaScript" >JavaScript[/URL] в Internet Explorer и позволяет злоумышленникам выполнять произвольный код в ходе рендеринга вредоносного сайта. К счастью, исследователи TAG быстро сообщили о ней Microsoft и спустя пять дней после присвоения идентификатора CVE она была устранена.
Однако есть и плохие новости – исследователи не смогли восстановить и проанализировать конечную полезную нагрузку. Остается гадать, что использовали злоумышленники на этот раз: ROKRAT, BLUELIGHT или DOLPHIN.
- Источник новости
- https://www.securitylab.ru/news/535193.php
