TA413 组利用 Follina 漏洞攻击国际西藏社区

关键要点

• 中国APT组织 TA413 正在利用被称为“Follina”的微软 Windows 支持诊断工具（MSDT）远程代码执行漏洞（CVE-2022-30190）进行网络攻击。
• 攻击主要针对国际西藏社区，伪装成“西藏中央行政机构女性赋权办公室”的相关活动。
• 该漏洞使攻击者能够通过 MSDT 协议执行恶意代码，传播带有密码盗取木马的 DOCX 文件。
• 微软已提供针对该漏洞的新指导，建议组织通过禁用 MSDT URL 协议来防范攻击。

根据 的报道，Proofpoint 研究人员发现中国APT组织 TA413正在积极利用最近发现的Windows支持诊断工具远程代码执行漏洞“Follina”。该漏洞的代号为CVE-2022-30190，成为针对国际西藏社区的攻击工具。

TA413 组织利用这一零日漏洞，通过 MSDT 协议执行恶意代码。“TA413 CN APT 在真实环境中利用 Follina 0Day，通过 URL传递包含利用该技术的 Zip 压缩文件和 Word 文档。”Proofpoint在一条推文中表示。这些攻击活动假冒西藏中央行政机构的“女性赋权办公室”，并使用域名 tibet- gov.web，详细说明了该漏洞在可能被利用的情况下，能够允许任意代码执行并允许程序安装和数据删除。企业可以通过禁用 MSDT URL 协议来降低攻击风险。