谷歌:国家黑客组织仍然在利用IE 0day

最新推荐文章于 2024-07-12 14:54:50 发布
最新推荐文章于 2024-07-12 14:54:50 发布
阅读量794 收藏
点赞数
文章标签: microsoft
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247514941&idx=1&sn=390b6ed3a46683d9754beb89046fc737&chksm=ea948a57dde30341cf07a0fea29375488e12cc048bfd1a9c43f89d68692073c180d36e9b180e&scene=126&&sessionid=0
版权

c5386a919482f9d58173a86e879a9427.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌威胁分析团队 (TAG) 披露称,朝鲜黑客组织APT37 利用此前未知的 IE 0day漏洞,通过恶意软件感染位于韩国的目标。

0572416745e365e6bc45500684fae205.gif

谷歌TAG 今年10月31日发现了该攻击,当时韩国的多个提交人员在VirusTotal网站上传了恶意微软Office 文档 “221031 首尔龙山区梨泰院事件响应情况 (06:00).docx”。一旦在受害者设备打开,该文档就会在下载使用IE渲染远程HTML的RTF远程模板后交付未知payload。远程加载交付该exploit的HTML内容可使攻击者利用该IE 0day,即使目标的默认浏览器并非IE。

该漏洞 (CVE-2022-41128) 是因为IE浏览器的JavaScript 引擎中的一个弱点造成的,它可导致攻击者在渲染恶意构造的网站时执行任意代码。微软在上个月的补丁星期二中将其修复,并在5天后分配CVE编号。

d82b04d68f94909ae7c9dfa1c0811c2d.gif

恶意软件信息无法获取

621a3ae465bccce76b6f1f8f42e6d017.gif

虽然谷歌TAG团队无法分析朝鲜黑客组织分发在韩国目标计算机上的最终恶意payload,但该黑客组织被指在攻击中部署大量恶意软件。

谷歌研究人员指出,“即使我们并未恢复最终的payload,但我们此前观察到该威胁组织传播大量植入如 ROKRAT、BLUELIGHT和DOLPHIN。APT37 植入一般利用合法云服务作为C2信道,并提供后门能力。”

APT37已活跃10年的时间,至少活跃于2012年,此前曾被火焰公司认为受朝鲜政府支持。该黑客组织主要攻击与朝鲜政权存在利益关系的个体,包括持不同政见者、外交官、记者、人权活动家和政府员工。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌紧急修复今年已遭利用的第9个0day

谷歌紧急修复已遭利用的Chrome 0day

谷歌Chrome紧急修复已遭利用的 V8类型混淆0day

苹果修复已遭利用的第9枚0day

苹果修复已遭利用的第9枚0day

原文链接

https://www.bleepingcomputer.com/news/security/google-state-hackers-still-exploiting-internet-explorer-zero-days/

题图:Pexels License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

ffd52a5648ae23c3e8051fe684add60c.jpeg

55f64a95197b8d89264a0337655924fc.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   28af0691a925d0b393e5e61973cab9ab.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
0day安全》栈中的守护天使:GS
weixin_50287973的博客
09-09 219
针对缓冲区溢出时覆盖函数返回地址这一特征,微软在编译程序时使用了一个很酷的安全编译选项——GS,在 Visual Studio 2003 (VS 7.0)及以后版本的 Visual Studio 中默认启用了这个编译选项。 以下情况不会应用 GS: (1)函数不包含缓冲区。 (2)函数被定义为具有变量参数列表。 (3)函数使用无保护的关键字标记。 (4)函数在第一个语句中包含内嵌汇编代码。 (5)缓冲区不是 8 字节类型且大小不大于 4 个字节。 修改栈帧中函数返回地址的经典攻击将被 GS 机制有效遏制;
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
10-13
标题中的“逃逸IE浏览器沙箱-在野0Day漏洞利用复现”指的是针对Internet Explorer(IE)浏览器的安全研究,特别是关于如何利用未公开(0Day)漏洞来突破浏览器的安全沙箱机制。沙箱是一种安全措施,它限制了恶意代码...
【安全资讯】微软警告,IE浏览器零日漏洞正被在野利用
翼安研习社的博客
09-10 160
作者|yannichen 来源|FreeBuf.COM 发布时间|2021-09-09 9月8日,微软安全团队警告,IE浏览器中的一个零日漏洞正被者积极利用,恶意的微软Office文档可以借用该漏洞对计算机发起攻击。 该漏洞被追踪为 CVE-2021-40444,影响到微软的 MHTML,也被称为 Trident,即IE浏览器引擎,该漏洞可造成远程代码执行,CVSS评分8.8。 MSHTML是IE浏览器的主要HTML组件,也被用于其他应用程序。在 Office 中用于在其中呈现 Web 内容Word.
IE新0day漏洞(979352)(又称极光零日漏洞)***将扩散
weixin_34095889的博客
01-16 165
微软1月14日晚发布公告称,***在最近的针对Google、Adobe以及其他公司的***中利用了IE零日漏洞(编号979352)。有关该漏洞的信息不断被披露,目前网上已经出现完整的恶意***代码。金山安全专家认为由于该漏洞触发概率很高,极可能在近期被大规模利用,提醒广大网友注意防范。金山安全实验室测试表明,金山网盾可以完美拦截该漏洞的***。 金山网盾下载地址:http://i2d.www....
深入剖析最新IE0day漏洞
weixin_33935777的博客
05-22 210
在2018年4月下旬,我们使用沙箱发现了IE0day漏洞;自从在野外发现上一个样本(CVE-2016-0189)已经有两年多了。从许多方面来看,这个特别的漏洞及其后续的开发比较有趣。下一篇文章将分析最新的漏洞背后的核心原因,CVE-2018-8174。 寻找0day漏洞 我们从VirusTotal (VT)开始搜寻0day漏洞,有人在2018年4月18日...
刚刚,微软发出警告:这个 IE 0day 影响所有 Windows 版本,已遭用且无补丁!
smellycat000的专栏
01-18 341
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队微软刚刚发布安全公告(ADV200001)称,一个 IE 0day (CVE-2020-0674) 已遭利用,而且暂无补丁,仅...
脱敏版-神秘黑客组织:揭秘美国0Day攻击平台与APT实战案例.pdf
11-06
\n\n**酸狐狸0day攻击平台**\n“酸狐狸”是一个高度集成的攻击平台,拥有针对多种浏览器(如IE、Firefox、Chrome、Safari和Android Webkit)的0day漏洞库。通过中间人劫持工具“二次约会”,它能在用户毫无察觉的...
Ubuntu-0day:所有4.4 Ubuntu实例均易受攻击
02-06
0day漏洞是指那些软件开发者尚未知晓或尚未发布补丁的安全漏洞,黑客可以利用这些漏洞对系统进行攻击。在本例中,特定于Ubuntu 4.4版本的0day攻击意味着所有运行该版本的Ubuntu系统都可能面临风险。 【描述】...
hackday-conventions-java:校园黑客日 Java 编码大会
05-30
校园黑客日 Java 编码大会 目录 文档: : 配置文件: : 快速申请指南 如果您想以最少的规则快速申请,请仅参考以下段落。 .editorconfig设置: : .editorconfig 在 gradle 构建中检查 .editconfig 中的规则: :...
glider:黑客马拉松组织平台
06-11
安装首先,克隆存储库并确保递归执行,这样所有子模块也将被拉取。... 导入数据库模式的时间: mysql -u <USER> -p <DATABASE> < glider>/?login要求Apache Web 服务器(可以很容易地针对 nginx 进行调
ie 0day 分析
爱杀之爪的矩阵
09-23 1123
http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day/
朝鲜APT组织Group123/APT37在twitter上发布加密后的C&C命令,解密后出现新IOC
blackorbird的博客
07-05 596
事件大致如下,该组织在twitter上发布多条加密后的字符串,经鉴定为AES CBC 256 , IV = {0x00,..,0x0F}大约 5, 000 命令被解密, ...
朝鲜APT组织APT37/B team 利用韩国ActiveX软件0day漏洞针对韩国用户发起水坑攻击
blackorbird的博客
05-24 268
韩国安全研究人员Simon Choi 近两日宣称,朝鲜APT组织APT37/B team利用韩国ActiveX软件0day漏洞zhe发起水坑攻击.详情过程请看下图下列攻击...
朝鲜 APT37被指发动软件供应链攻击,瞄准股票投资人
smellycat000的专栏
01-06 1272
聚焦源代码安全,网罗国内外最新资讯!本周发布的一份报告指出,朝鲜黑客组织 Thallium(即 APT37)专门针对一家私有股票投资通讯服务发动软件供应链攻击。目前,该组织主要依靠钓鱼...
恶意软件NOKKI和朝鲜“Group123”APT组织关联的最新证据
苏诚的博客
11-18 1255
Palo Alto Networks的研究人员近期发布了一篇关于NOKKI恶意软件的报告,报告表示NOKKI和新发现的KONNI恶意软件共用代码。尽管在此报告中没有说明,NOKKI还与KimJongRAT木马共享代码(该木马由Cisco Talos的Paul Rascagnères于2013年发现)。在Palo Alto的另一份报告中,还公布了NOKKI与朝鲜攻击者APT37(又称收割者或Gr...
物业系统自主研发接口测试框架
qq_20878673的博客
07-11 1230
本文介绍了接口自动化测试的框架设计,驱动程序通过配置文件读取测试脚本,并生成测试报告。
强制升级最新系统,微软全面淘汰Win10和部分11用户
meiyimin的专栏
07-11 697
尽管到期后大家手中 Win 10 设备仍可继续使用,但后期出现的任何系统漏洞、缺陷、不稳定,并因此导致的所有损失,都将与微软无关。这也是为啥虽然目前 Win 7 依然能用,但多数企业还是会选择将它们升级为最新 Win 10 或 Win 11 的原因。对于微软来说,这么做一来省去了大量 Win 10 维护成本,二来可迫使用户升级至 Win 11,妥妥的一举两得。抛开相同遭遇的 Win 10、Win 8.1、Win 7,微软最近似乎又把目标瞄向了首批 Win 11 用户。
Web控件进阶交互
最新发布
qq_42797317的博客
07-12 617
测试时常需要模拟键盘或鼠标操作,可以用Python的ActionChains来模拟。ActionChains是Selenium提供的一个子类,用于生成和执行复杂的用户交互操作,允许将一系列操作链接在一起,然后一次性执行。
报表控件DevExpress Reporting中文教程 - 如何创建穿透钻取报表?
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
07-12 477
本文中主要为大家介绍如何使用Azure AI服务增强Word文档的可访问性和语言支持,欢迎下载相关组件体验!
软件漏洞分析入门
06-27
看雪论坛出的0day安全前面几章

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值