Devlet bağlantılı olduğundan şüphelenilen bir tehdit aktörü, Avrupa ve ABD’deki devlet kurumlarını hedef almak için Microsoft Office “Follina” güvenlik açığından yararlanan yeni bir dizi saldırıyla ilişkilendirildi.
Kurumsal güvenlik firması Proofpoint, takip edilen CVE-2022-30190 (CVSS puanı: 7.8) uzaktan kod yürütme kusurundan yararlanma girişimlerini engellediğini söyledi. Hedeflere bir cazibe belgesi içeren en az 1.000 kimlik avı mesajı gönderildi.
“Bu kampanya, maaş artışı olarak maskelendi ve 45.76.53’ten indirilen yararlanma yüküyle bir RTF kullandı.[.]253” şirket söz konusu bir dizi tweette.
Bir PowerShell komut dosyası biçiminde tezahür eden yük, Base64 kodludur ve “satıcı bildirimi” adlı uzak bir sunucudan ikinci bir PowerShell komut dosyasını almak için bir indirici olarak işlev görür.[.]canlı.”
“Bu komut dosyası sanallaştırmayı kontrol eder, yerel tarayıcılardan, posta istemcilerinden ve dosya hizmetlerinden bilgi çalar, makinenin yeniden keşfini gerçekleştirir ve ardından exfil için sıkıştırır.[tration] 45.77.156’ya kadar[.]179,” diye ekledi şirket.
Kimlik avı kampanyası daha önce bilinen bir grupla bağlantılı değil, ancak hedeflemenin özgüllüğüne ve PowerShell yükünün geniş kapsamlı keşif yeteneklerine dayalı olarak bir ulus devlet aktörü tarafından başlatıldığını söyledi.
Geliştirme, kötü amaçlı yazılımlarla donatılmış Microsoft Word belgeleriyle silahlaştırılmış ZIP arşivleri sunmak için TA413 olarak izlenen Çinli bir tehdit aktörünün aktif istismar girişimlerini takip ediyor.
Hedef cihazların kontrolünü uzaktan ele geçirmek için “ms-msdt:” protokol URI şemasından yararlanan Follina güvenlik açığı, Microsoft’un müşterileri saldırı vektörünü önlemek için protokolü devre dışı bırakmaya teşvik etmesiyle yamalanmamış durumda.
Tehdit araştırmaları başkan yardımcısı Sherrod DeGrippo, The Hacker News ile paylaşılan bir bildiride, “Proofpoint, CVE-2022-30190’dan yararlanan hedefli saldırıları görmeye devam ediyor,” dedi.
“İkinci PowerShell senaryosu tarafından yürütülen kapsamlı keşif, bir hedefin bilgisayarındaki çok çeşitli yazılımlarla ilgilenen bir aktörü gösteriyor. Bu, Avrupa hükümetinin ve yerel ABD hükümetlerinin sıkı bir şekilde hedeflenmesiyle birleştiğinde, bu kampanyanın devlet hizalı bir bağlantısı olduğundan şüphelenmemize neden oldu. “