中国が支援するハッカーは、パッチが適用されていないMicrosoftのゼロデイ攻撃を悪用します– TBEN

中国が支援するハッカーは、「Follina」と呼ばれるパッチが適用されていないMicrosoft Officeのゼロデイ脆弱性を悪用して、Windowsシステム上で悪意のあるコードをリモートで実行しています。

重大度の高い脆弱性(CVE-2022-30190として識別)は、特別に細工されたOfficeドキュメントを開いたりプレビューしたりするときに、Microsoft診断ツール(MSDT)を介して悪意のあるPowerShellコマンドを実行する攻撃で使用されます。 この欠陥は、Windows11やOffice365を含む41のMicrosoft製品に影響を及ぼし、昇格された特権なしで動作し、Windows Defenderの検出をバイパスし、マクロコードでバイナリやスクリプトを実行できるようにする必要はありません。

Zero Dayは、悪意のある可能性のあるファイルやドキュメントに対して警告するOfficeツールであるMicrosoftの保護されたビュー機能をバイパスすることもできます。 Huntressの研究者は、ドキュメントをリッチテキスト形式(RTF)ファイルに変換すると、攻撃者がこの警告を回避し、クリックを必要としないダウンロードファイルにカーソルを合わせるとエクスプロイトがトリガーされる可能性があると警告しました。

Microsoftは、この欠陥により、ハッカーがユーザー権限で許可されたコンテキストでプログラムをインストールしたり、データを削除したり、新しいアカウントを作成したりする可能性があると警告しました。

サイバーセキュリティの研究者は、4月以降、ハッカーがこの欠陥を悪用してロシアとベラルーシのユーザーを標的にしているのを観察しており、企業のセキュリティ会社Proofpointは今週、中国の国家支援ハッキンググループがゼロデイを悪用していると述べました。 国際チベットコミュニティを標的とした攻撃で。

«TA413CNAPTが発見されました [in-the-wild] URLを使用してFollinaのZeroDayを活用し、この手法を使用してWordドキュメントを含むZIPアーカイブを配信する」、Proofpoint 言った ツイートで。 キャンペーンは中央チベット政府の女性のエンパワーメントデスクになりすまし、ドメインtibet-gov.webを使用します[.]応用。 »»

Proofpointは、悪意のあるブラウザ拡張機能とキャンペーンを使用してチベットの組織を標的とする脅威アクターTA413(「LuckyCat」および「EarthBerberoka」としても追跡)を以前に観察したことをTBENに伝えます。 COVID-19をテーマにスパイ。

フォッリーナのゼロデイ攻撃は、元々4月12日にマイクロソフトに報告されました。その後、ロシアの通信社スプートニクが受信者にラジオインタビューを提供していると主張するWord文書が、自然界の欠陥を悪用していることが判明しました。 ただし、シャドウチェイサーグループ 狂った男ゼロ日を最初に報告した研究者は、マイクロソフトが最初に欠陥を次のように特定したと述べた 「セキュリティの問題」ではありません。 その後、技術の巨人は研究者に「問題は解決された」と通知しましたが、修正は利用できないようです。

TBENは、修正がいつリリースされるかをMicrosoftに尋ねましたが、会社は応答しませんでした。 ただし、同社は、MSDT URLプロトコルとWindowsエクスプローラーのプレビューペインを無効にすることで、CVE-2022-30190を悪用する攻撃をブロックできることを管理者に通知する新しいガイドラインをリリースしました。

米国のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)は火曜日にアラートを発行し、ユーザーと管理者にMicrosoftのガイドラインを確認して必要な回避策を適用するように促しました。

Leave a Comment

%d bloggers like this: