แฮ็กเกอร์สัญชาติจีนเริ่มการโจมตีโดยใช้ประโยชน์จากช่องโหว่ zero-day ของ Microsoft Office (หรือที่รู้จักในชื่อ 'Follina')
ช่องโหว่ RCE ดังกล่าวเกิดจาก Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190) ซึ่งส่งผลกระทบต่อทั้ง Windows client และ server ทั้งหมด
กลุ่ม Shadow Chaser ซึ่งเป็นนักวิจัยที่รายงาน zero-day นี้ครั้งแรกในเดือนเมษายนกล่าวว่า ในช่วงแรก Microsoft ประเมินว่าช่องโหว่นี้ไม่ถือว่าเป็น "ปัญหาด้านความปลอดภัย" แต่อย่างไรก็ตาม ในภายหลังกลับปิดเคส(ระบบสำหรับการแจ้งช่องโหว่กับ Microsoft) ว่าเป็นช่องโหว่ที่มีผลกระทบในแบบ Remote Code Execution
เริ่มพบการโจมตีเป็นวงกว้าง
เมื่อวันที่ 30 พ.ค. ที่ผ่านมา นักวิจัยด้านความปลอดภัยของ Proofpoint พบว่ากลุ่ม TA413 APT ซึ่งเป็นกลุ่มที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนเริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าว โดยการส่งไฟล์ Word ที่ถูก ZIP ไว้ผ่านแคมเปญชื่อ 'Women Empowerments Desk’ ของ Central Tibetan Administration และใช้โดเมน tibet-gov.web[.]app ที่เมื่อเหยื่อคลิก open หรือ preview ไฟล์ดังกล่าวก็จะถูกรันโค้ดที่เป็นอันตรายผ่านทาง MSDT protocol
นักวิจัยด้านความปลอดภัย MalwareHunterTeam ยังพบเอกสาร DOCX ที่มีชื่อไฟล์ภาษาจีนเพื่อติดตั้งเพย์โหลดที่เป็นอันตรายซึ่งตรวจพบว่าเป็นโทรจันเพื่อขโมยรหัสผ่านโดยผ่านทาง [http://coolrat[.]xyz|http://coolrat[.]xyz/]
ที่มา : bleepingcomputer
You must be logged in to post a comment.