TA413 组利用 Follina 漏洞攻击国际西藏社区

关键要点

根据 BleepingComputer 的报道，Proofpoint 研究人员发现中国APT组织 TA413 正在积极利用最近发现的Windows支持诊断工具远程代码执行漏洞“Follina”。该漏洞的代号为CVE202230190，成为针对国际西藏社区的攻击工具。

TA413 组织利用这一零日漏洞，通过 MSDT 协议执行恶意代码。“TA413 CN APT 在真实环境中利用 Follina 0Day，通过 URL 传递包含利用该技术的 Zip 压缩文件和 Word 文档。”Proofpoint 在一条推文中表示。这些攻击活动假冒西藏中央行政机构的“女性赋权办公室”，并使用域名 tibetgovweb[]app。MalwareHunterTeam 发现，攻击者使用带有中文名称的 DOCX 文件来安装属于密码盗取的木马恶意负载。

与此同时，微软也发布了新的 指导，详细说明了该漏洞在可能被利用的情况下，能够允许任意代码执行并允许程序安装和数据删除。企业可以通过禁用 MSDT URL 协议来降低攻击风险。