Nordkoreanische Hacker zielen bei Supply-Chain-Angriff auf Sicherheitslücke im Internet Explorer ab

Eine kürzlich entdeckte Zero-Day-Sicherheitslücke im Internet Explorer hat erneut die anhaltende Bedrohung durch Cyber-Spionage offengelegt. Das neueste Opfer? Eine Werbeagentur, die von der berüchtigten nordkoreanischen APT37-Gruppe kompromittiert wurde, die auch als RedEyes, Reaper, ScarCruft, Group123 und TA-RedAnt bekannt ist. Dieser ausgeklügelte Angriff zeigt, wie die Gruppe in der Lage ist, veraltete Technologie auszunutzen, indem sie einen Fehler im Internet Explorer ausnutzt, um Benutzer über Schwachstellen in der Lieferkette anzugreifen.

Eine offen ausgenutzte Schwachstelle

Die als CVE-2024-38178 bezeichnete Schwachstelle ist auf ein Speicherbeschädigungsproblem in der Skript-Engine von Internet Explorer zurückzuführen. Obwohl Microsoft den Support für Internet Explorer im Jahr 2022 eingestellt hat, sind viele Anwendungen, darunter auch Werbesoftware, weiterhin auf den zugrunde liegenden Code angewiesen, um zu funktionieren. Konkret besteht die Schwachstelle in jscript9.dll, einer Browser-Engine-Komponente, die in die Software eingebettet bleibt und damit anfällig für Angriffe ist.

Laut AhnLab und dem südkoreanischen National Cyber Security Center (NCSC) zielte APT37 auf die anfällige Browser-Engine ab, um einen Zero-Click-Angriff zu starten. Das bedeutet, dass Benutzer nicht mit bösartigen Links oder Dateien interagieren mussten, um ihre Systeme zu kompromittieren. Der Fehler ermöglichte die Remote-Codeausführung, sodass die Angreifer die Kontrolle über betroffene Maschinen übernehmen konnten, indem sie einfach kompromittierten Anzeigen ausgesetzt wurden.

Wie der Angriff ablief

Der Angriff begann, als APT37 den Werbeserver eines koreanischen Unternehmens kompromittiert hat, das hinter dem Toast-Werbeprogramm steht, das mit verschiedenen kostenlosen Programmen gebündelt war. Der kompromittierte Server verteilte dann über das Werbeprogramm bösartige Anzeigen an Systeme, auf denen die anfällige Internet Explorer-Engine ausgeführt wurde. Während diese Anzeigen heruntergeladen und gerendert wurden, wurde der bösartige Code ohne Benutzerinteraktion ausgeführt, was zu einem Zero-Click-Angriff führte.

APT37 nutzte diese Schwachstelle als Einstiegspunkt, um Schadsoftware auf die betroffenen Systeme zu bringen . Dies war wahrscheinlich Teil einer breiteren Kampagne, die auf Personen abzielte, die in südkoreanische Angelegenheiten verwickelt waren, darunter Überläufer, Aktivisten, Journalisten und Politiker.

Microsofts Patch und anhaltende Risiken

Microsoft hat am 13. August einen Patch für CVE-2024-38178 veröffentlicht, der die Schwachstelle behebt, indem er Benutzer dazu auffordert, auf eine manipulierte URL zu klicken. Für die betroffene Werbeagentur und ihre Benutzer kam dieser Patch jedoch zu spät. Selbst mit diesem Fix bleibt die Präsenz der Engine des Internet Explorers in älterer Software ein erhebliches Risiko.

AhnLab warnt, dass viele Anwendungen weiterhin die WebView-Komponente des Internet Explorers verwenden, um Webinhalte darzustellen, was sie für diese Art von Angriffen anfällig macht. Die Tatsache, dass ein Browser, der vor über zwei Jahren außer Dienst gestellt wurde, immer noch ausgenutzt wird, unterstreicht, wie wichtig es ist, Software regelmäßig zu aktualisieren und Altsysteme zu ersetzen.

Schutz vor Zero-Day-Exploits

Die Ausnutzung von CVE-2024-38178 durch APT37 ist ein deutlicher Hinweis darauf, dass Unternehmen wachsam gegenüber Zero-Day-Schwachstellen bleiben müssen, selbst in veralteter Software. Hier sind einige Schritte, die Unternehmen und Einzelpersonen unternehmen können, um das Risiko ähnlicher Angriffe zu verringern:

  • Regelmäßige Software-Updates : Stellen Sie sicher, dass die gesamte Software auf dem neuesten Stand ist, und stellen Sie die Nutzung veralteter oder nicht unterstützter Anwendungen ein.
  • Überwachen Sie Indikatoren für Kompromittierung (IoCs) : AhnLab hat einen Bericht mit IoCs zu diesem Angriff veröffentlicht. Organisationen sollten ihre Netzwerke auf diese Indikatoren überwachen, um Anzeichen einer Kompromittierung zu erkennen.
  • Isolieren Sie anfällige Software : Wenn bestimmte Anwendungen auf älteren, anfälligen Softwarekomponenten basieren, isolieren Sie sie vom Rest Ihres Netzwerks, um im Falle eines Angriffs die Verbreitung von Malware zu verhindern.

Lehren aus der Hartnäckigkeit von APT37

APT37, auch bekannt als RedEyes, hat schon seit Langem hochkarätige Einzelpersonen und Gruppen im Visier und nutzt dabei oft Zero-Day-Schwachstellen, um sich Zugang zu verschaffen. Ihre jüngste Kampagne zeigt, dass sie auch nach einem Jahrzehnt ihrer Aktivität noch immer eine erhebliche Cyberbedrohung darstellen.

In der sich ständig weiterentwickelnden Cyberlandschaft von heute sind Angriffe wie diese eine Erinnerung daran, dass das schwächste Glied in der Lieferkette großen Schaden anrichten kann. Regelmäßige Updates, Kenntnis bekannter Schwachstellen und robuste Sicherheitspraktiken sind unverzichtbare Abwehrmaßnahmen gegen fortgeschrittene, hartnäckige Bedrohungen wie APT37.

Solange veraltete Software im Einsatz bleibt, werden Cyberkriminelle diese versteckten Schwachstellen weiterhin ausnutzen. Um die Nase vorn zu behalten, ist ein proaktiver Ansatz zur Cybersicherheit erforderlich – denn der nächste Zero-Day-Exploit könnte gleich um die Ecke sein.

Bis Zane
October 18, 2024
Computer Security
Deutsch
October 18, 2024
Computer Security

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.