Οι βορειοκορεάτες χάκερ στοχεύουν σε ευπάθεια του Internet Explorer σε επίθεση στην αλυσίδα εφοδιασμού

Μια ευπάθεια zero-day που ανακαλύφθηκε πρόσφατα στον Internet Explorer αποκάλυψε για άλλη μια φορά τη διαρκή απειλή της κατασκοπείας στον κυβερνοχώρο. Το τελευταίο θύμα; Μια διαφημιστική εταιρεία που παραβιάστηκε από τον διαβόητο βορειοκορεατικό όμιλο APT37 , επίσης γνωστό ως RedEyes, Reaper, ScarCruft, Group123 και TA-RedAnt. Αυτή η εξελιγμένη επίθεση υπογραμμίζει την ικανότητα της ομάδας να εκμεταλλεύεται την ξεπερασμένη τεχνολογία, χρησιμοποιώντας ένα ελάττωμα στον Internet Explorer για τη στόχευση χρηστών μέσω τρωτών σημείων της εφοδιαστικής αλυσίδας.

Μια ευπάθεια που εκμεταλλεύεται σε κοινή θέα

Παρακολούθηση ως CVE-2024-38178, η ευπάθεια συνδέεται με ένα ζήτημα καταστροφής μνήμης στη μηχανή δέσμης ενεργειών του Internet Explorer. Ενώ η Microsoft τερμάτισε την υποστήριξη για τον Internet Explorer το 2022, πολλές εφαρμογές, συμπεριλαμβανομένου του διαφημιστικού λογισμικού, συνεχίζουν να βασίζονται στον υποκείμενο κώδικα για να λειτουργήσουν. Συγκεκριμένα, η ευπάθεια υπάρχει στο jscript9.dll, ένα στοιχείο μηχανής προγράμματος περιήγησης που παραμένει ενσωματωμένο σε λογισμικό, αφήνοντάς το ευάλωτο σε επιθέσεις.

Σύμφωνα με το AhnLab και το Εθνικό Κέντρο Ασφάλειας Κυβερνοασφάλειας της Νότιας Κορέας (NCSC), το APT37 στόχευσε την ευάλωτη μηχανή του προγράμματος περιήγησης για να εξαπολύσει μια επίθεση μηδενικού κλικ. Αυτό σημαίνει ότι οι χρήστες δεν χρειαζόταν να αλληλεπιδράσουν με κακόβουλους συνδέσμους ή αρχεία για να παραβιαστούν τα συστήματά τους. Το ελάττωμα επέτρεψε την απομακρυσμένη εκτέλεση κώδικα, επιτρέποντας στους εισβολείς να αναλάβουν τον έλεγχο των επηρεαζόμενων μηχανημάτων απλώς μέσω της έκθεσης σε παραβιασμένες διαφημίσεις.

Πώς εκτυλίχθηκε η επίθεση

Η επίθεση ξεκίνησε όταν το APT37 παραβίασε τον διακομιστή διαφημίσεων μιας κορεατικής εταιρείας πίσω από το διαφημιστικό πρόγραμμα Toast, το οποίο συνοδευόταν με διάφορα δωρεάν λογισμικό. Στη συνέχεια, ο παραβιασμένος διακομιστής διένειμε κακόβουλες διαφημίσεις μέσω του προγράμματος διαφημίσεων σε συστήματα που εκτελούν τον ευάλωτο κινητήρα του Internet Explorer. Καθώς αυτές οι διαφημίσεις κατέβαιναν και αποδόθηκαν, ο κακόβουλος κώδικας εκτελέστηκε χωρίς καμία αλληλεπίδραση με τον χρήστη, με αποτέλεσμα μια επίθεση μηδενικού κλικ.

Το APT37 χρησιμοποίησε αυτήν την ευπάθεια ως σημείο εισόδου για την παράδοση κακόβουλου λογισμικού στα επηρεαζόμενα συστήματα . Αυτό ήταν πιθανότατα μέρος μιας ευρύτερης προσπάθειας για τη στόχευση ατόμων που εμπλέκονται σε υποθέσεις της Νότιας Κορέας, συμπεριλαμβανομένων αποστατών, ακτιβιστών, δημοσιογράφων και υπευθύνων χάραξης πολιτικής.

Η ενημέρωση κώδικα της Microsoft και οι συνεχείς κίνδυνοι

Η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα για το CVE-2024-38178 στις 13 Αυγούστου, αντιμετωπίζοντας την ευπάθεια απαιτώντας από τους χρήστες να κάνουν κλικ σε μια δημιουργημένη διεύθυνση URL. Ωστόσο, αυτή η ενημέρωση κώδικα ήρθε πολύ αργά για την παραβιασμένη διαφημιστική εταιρεία και τους χρήστες της. Ακόμη και με αυτήν την επιδιόρθωση, η παρουσία του κινητήρα του Internet Explorer σε παλαιού τύπου λογισμικό παραμένει σημαντικός κίνδυνος.

Το AhnLab προειδοποιεί ότι πολλές εφαρμογές συνεχίζουν να χρησιμοποιούν το στοιχείο WebView του Internet Explorer για την απόδοση περιεχομένου ιστού, καθιστώντας τις ευάλωτες σε αυτού του είδους τις επιθέσεις. Το γεγονός ότι ένα πρόγραμμα περιήγησης που αποσύρθηκε πριν από δύο χρόνια εξακολουθεί να αποτελεί αντικείμενο εκμετάλλευσης υπογραμμίζει τη σημασία της τακτικής ενημέρωσης του λογισμικού και της αντικατάστασης παλαιούχων συστημάτων.

Προστασία κατά των εκμεταλλεύσεων της ημέρας μηδέν

Η εκμετάλλευση του CVE-2024-38178 από το APT37 χρησιμεύει ως μια έντονη υπενθύμιση της ανάγκης για τους οργανισμούς να παραμείνουν σε επαγρύπνηση έναντι των τρωτών σημείων μηδενικής ημέρας, ακόμη και σε απαρχαιωμένο λογισμικό. Ακολουθούν μερικά βήματα που μπορούν να λάβουν οι επιχειρήσεις και τα άτομα για να μειώσουν τον κίνδυνο παρόμοιων επιθέσεων:

• Τακτικές ενημερώσεις λογισμικού : Βεβαιωθείτε ότι όλο το λογισμικό είναι ενημερωμένο και διακόψτε τη χρήση παλιών ή μη υποστηριζόμενων εφαρμογών.
• Παρακολούθηση δεικτών συμβιβασμού (IoC) : Η AhnLab δημοσίευσε μια αναφορά που περιέχει IoC που σχετίζονται με αυτήν την επίθεση. Οι οργανισμοί θα πρέπει να παρακολουθούν τα δίκτυά τους για αυτούς τους δείκτες για να εντοπίσουν τυχόν σημάδια συμβιβασμού.
• Απομόνωση ευάλωτου λογισμικού : Εάν ορισμένες εφαρμογές βασίζονται σε παλαιότερα, ευάλωτα στοιχεία λογισμικού, απομονώστε τα από το υπόλοιπο δίκτυό σας για να αποτρέψετε τη διάδοση κακόβουλου λογισμικού σε περίπτωση επίθεσης.

Μαθήματα από την Επιμονή του APT37

Το APT37, γνωστό και ως RedEyes, έχει μακρά ιστορία στόχευσης ατόμων και ομάδων υψηλού προφίλ, χρησιμοποιώντας συχνά τρωτά σημεία zero-day για να αποκτήσει πρόσβαση. Η τελευταία τους καμπάνια δείχνει ότι ακόμη και μετά από μια δεκαετία δραστηριότητας, παραμένουν μια σημαντική απειλή στον κυβερνοχώρο.

Στο σημερινό εξελισσόμενο τοπίο στον κυβερνοχώρο, επιθέσεις σαν αυτές είναι μια υπενθύμιση ότι ο πιο αδύναμος κρίκος στην αλυσίδα εφοδιασμού μπορεί να προκαλέσει εκτεταμένη ζημιά. Οι τακτικές ενημερώσεις, η επίγνωση των γνωστών τρωτών σημείων και οι ισχυρές πρακτικές ασφαλείας αποτελούν βασικές άμυνες έναντι προηγμένων επίμονων απειλών όπως το APT37.

Όσο το λογισμικό παλαιού τύπου παραμένει σε χρήση, οι εγκληματίες του κυβερνοχώρου θα συνεχίσουν να εκμεταλλεύονται αυτά τα κρυφά τρωτά σημεία. Το να παραμείνουμε μπροστά απαιτεί μια προληπτική προσέγγιση για την ασφάλεια στον κυβερνοχώρο—επειδή η επόμενη εκμετάλλευση μηδενικής ημέρας μπορεί να είναι προ των πυλών.