Nordkoreanske hackere sigter mod Internet Explorer-sårbarhed i Supply Chain-angreb
En nylig opdaget nul-dages sårbarhed i Internet Explorer har endnu en gang afsløret den vedvarende trussel om cyberspionage. Det seneste offer? Et reklamebureau kompromitteret af den berygtede nordkoreanske APT37-gruppe , også kendt som RedEyes, Reaper, ScarCruft, Group123 og TA-RedAnt. Dette sofistikerede angreb fremhæver gruppens evne til at udnytte forældet teknologi ved at bruge en fejl i Internet Explorer til at målrette brugere gennem forsyningskædens sårbarheder.
Table of Contents
En sårbarhed udnyttet i almindeligt syn
Sporet som CVE-2024-38178, er sårbarheden knyttet til et problem med hukommelseskorruption i Internet Explorers scriptingmotor. Mens Microsoft ophørte med at understøtte Internet Explorer i 2022, er mange applikationer, inklusive reklamesoftware, fortsat afhængige af dens underliggende kode for at fungere. Specifikt eksisterer sårbarheden i jscript9.dll, en browsermotorkomponent, der forbliver indlejret i software, hvilket efterlader den sårbar over for angreb.
Ifølge AhnLab og Sydkoreas nationale cybersikkerhedscenter (NCSC) målrettede APT37 den sårbare browsermotor for at starte et nul-klik-angreb. Det betyder, at brugerne ikke behøvede at interagere med ondsindede links eller filer, for at deres systemer blev kompromitteret. Fejlen tillod fjernudførelse af kode, hvilket gjorde det muligt for angriberne at tage kontrol over berørte maskiner blot gennem eksponering for kompromitterede reklamer.
Hvordan angrebet forløb
Angrebet begyndte, da APT37 kompromitterede et koreansk firmas reklameserver bag annonceprogrammet Toast, som var bundtet med diverse gratis software. Den kompromitterede server distribuerede derefter ondsindede annoncer gennem annonceprogrammet til systemer, der kører den sårbare Internet Explorer-motor. Da disse annoncer blev downloadet og gengivet, blev den ondsindede kode eksekveret uden brugerinteraktion, hvilket resulterede i et nul-klik-angreb.
APT37 brugte denne sårbarhed som et indgangspunkt til at levere malware til de berørte systemer . Dette var sandsynligvis en del af en bredere indsats for at målrette mod personer involveret i sydkoreanske anliggender, herunder afhoppere, aktivister, journalister og politiske beslutningstagere.
Microsofts patch og løbende risici
Microsoft udgav en patch til CVE-2024-38178 den 13. august, der adresserede sårbarheden ved at kræve, at brugerne klikker på en udformet URL. Denne patch kom dog for sent for det kompromitterede reklamebureau og dets brugere. Selv med denne rettelse forbliver tilstedeværelsen af Internet Explorers motor i ældre software en betydelig risiko.
AhnLab advarer om, at mange applikationer fortsætter med at bruge Internet Explorers WebView-komponent til at gengive webindhold, hvilket gør dem sårbare over for denne type angreb. Det faktum, at en browser, der blev pensioneret for over to år siden, stadig bliver udnyttet, understreger vigtigheden af regelmæssigt at opdatere software og erstatte ældre systemer.
Beskyttelse mod Zero-Day Exploits
APT37's udnyttelse af CVE-2024-38178 tjener som en skarp påmindelse om behovet for organisationer til at være på vagt over for nul-dages sårbarheder, selv i forældet software. Her er et par trin, som virksomheder og enkeltpersoner kan tage for at reducere risikoen for lignende angreb:
- Regelmæssige softwareopdateringer : Sørg for, at al software er opdateret, og stop brugen af forældede eller ikke-understøttede programmer.
- Monitor Indicators of Compromise (IoC'er) : AhnLab har udgivet en rapport, der indeholder IoC'er relateret til dette angreb. Organisationer bør overvåge deres netværk for disse indikatorer for at opdage eventuelle tegn på kompromis.
- Isoler sårbar software : Hvis visse applikationer er afhængige af ældre, sårbare softwarekomponenter, skal du isolere dem fra resten af dit netværk for at forhindre spredning af malware i tilfælde af et angreb.
Lektioner fra APT37's Persistence
APT37, også kendt som RedEyes, har en lang historie med at målrette højprofilerede individer og grupper, ofte ved at bruge nul-dages sårbarheder for at få adgang. Deres seneste kampagne viser, at selv efter et årti med aktivitet er de fortsat en betydelig cybertrussel.
I nutidens udviklende cyberlandskab er angreb som disse en påmindelse om, at det svageste led i forsyningskæden kan forårsage omfattende skader. Regelmæssige opdateringer, bevidsthed om kendte sårbarheder og robust sikkerhedspraksis er væsentlige forsvar mod avancerede vedvarende trusler som APT37.
Så længe ældre software forbliver i brug, vil cyberkriminelle fortsætte med at udnytte disse skjulte sårbarheder. At være på forkant kræver en proaktiv tilgang til cybersikkerhed – fordi den næste nul-dages udnyttelse kan være lige om hjørnet.
