Az észak-koreai hackerek az Internet Explorer sebezhetőségét célozzák ellátási lánc támadás során

Az Internet Explorer nemrégiben felfedezett nulladik napi sebezhetősége ismét felfedte a kiberkémkedés folyamatos fenyegetését. A legújabb áldozat? Egy reklámügynökség, amelyet a hírhedt észak-koreai APT37 csoport kompromittált, más néven RedEyes, Reaper, ScarCruft, Group123 és TA-RedAnt. Ez a kifinomult támadás rávilágít arra, hogy a csoport képes kihasználni az elavult technológiát, az Internet Explorer hibáját felhasználva a felhasználókat az ellátási lánc sérülékenységein keresztül célba venni.

Egy sérülékenység, amelyet szemmel láthatóan kihasználtak

A CVE-2024-38178 jelzésű biztonsági rés az Internet Explorer parancsfájl-motorjának memóriasérüléséhez kapcsolódik. Míg a Microsoft 2022-ben megszüntette az Internet Explorer támogatását, sok alkalmazás, beleértve a hirdetési szoftvereket is, továbbra is a mögöttes kódra támaszkodik, hogy működjön. Pontosabban, a sérülékenység a jscript9.dll böngészőmotor-összetevőben található, amely továbbra is a szoftverbe ágyazva marad, így támadásokkal szemben sebezhetővé válik.

Az AhnLab és a dél-koreai Nemzeti Kiberbiztonsági Központ (NCSC) szerint az APT37 a sebezhető böngészőmotort célozta meg, hogy nulla kattintásos támadást indítson. Ez azt jelenti, hogy a felhasználóknak nem kellett rosszindulatú hivatkozásokkal vagy fájlokkal interakcióba lépniük ahhoz, hogy rendszerüket feltörjék. A hiba lehetővé tette a távoli kódfuttatást, lehetővé téve a támadók számára, hogy átvehessék az irányítást az érintett gépek felett, egyszerűen a feltört hirdetéseknek való kitettség révén.

Hogyan bontakozott ki a támadás

A támadás akkor kezdődött, amikor az APT37 kompromittálta a Toast hirdetési program mögött álló koreai cég hirdetési szerverét, amelyhez különféle ingyenes szoftverek voltak kötve. A feltört szerver ezután rosszindulatú hirdetéseket terjesztett a hirdetési programon keresztül a sebezhető Internet Explorer motort futtató rendszerekre. A hirdetések letöltése és megjelenítése során a rosszindulatú kód felhasználói beavatkozás nélkül futott le, ami nulla kattintásos támadást eredményezett.

Az APT37 ezt a sérülékenységet használta belépési pontként, hogy rosszindulatú programokat juttathasson el az érintett rendszerekbe . Ez valószínűleg része volt annak a szélesebb körű erőfeszítésnek, amely a dél-koreai ügyekben érintett személyeket célozta meg, beleértve a disszidálókat, aktivistákat, újságírókat és politikai döntéshozókat.

A Microsoft javítása és a folyamatos kockázatok

A Microsoft augusztus 13-án kiadott egy javítást a CVE-2024-38178-as verzióhoz, amely a biztonsági rés megszüntetésére kötelezte a felhasználókat, hogy egy kialakított URL-re kattintsanak. Ez a javítás azonban túl későn jelent meg a kompromittált reklámügynökség és felhasználói számára. Még ezzel a javítással is jelentős kockázatot jelent az Internet Explorer motorjának jelenléte a régi szoftverekben.

Az AhnLab arra figyelmeztet, hogy sok alkalmazás továbbra is az Internet Explorer WebView összetevőjét használja webtartalom megjelenítésére, így sebezhetővé válik az ilyen típusú támadásokkal szemben. Az a tény, hogy egy több mint két éve megszűnt böngészőt még mindig kihasználnak, aláhúzza a szoftverek rendszeres frissítésének és a régi rendszerek cseréjének fontosságát.

Védelem a nulladik napi kizsákmányolásokkal szemben

A CVE-2024-38178 APT37 általi kihasználása határozottan emlékeztet arra, hogy a szervezeteknek ébernek kell lenniük a nulladik napi sebezhetőségekkel szemben, még az elavult szoftverekben is. Íme néhány lépés, amelyet vállalkozások és magánszemélyek tehetnek a hasonló támadások kockázatának csökkentése érdekében:

• Rendszeres szoftverfrissítések : Győződjön meg arról, hogy minden szoftver naprakész, és hagyja abba az elavult vagy nem támogatott alkalmazások használatát.
• Monitoring Indicators of Compromise (IoC) : Az AhnLab közzétett egy jelentést, amely tartalmazza a támadáshoz kapcsolódó IoC-ket. A szervezeteknek figyelniük kell hálózataikat ezen mutatók tekintetében, hogy észleljék a kompromisszum jeleit.
• Sebezhető szoftverek elkülönítése : Ha bizonyos alkalmazások régebbi, sebezhető szoftverösszetevőkre támaszkodnak, izolálja azokat a hálózat többi részétől, hogy támadás esetén megakadályozza a rosszindulatú programok terjedését.

Az APT37 kitartásának tanulságai

Az APT37, más néven RedEyes, hosszú múltra tekint vissza a nagy horderejű egyének és csoportok megcélzásában, gyakran nulladik napi sebezhetőséget használva a hozzáféréshez. Legújabb kampányuk azt mutatja, hogy még egy évtizednyi tevékenység után is jelentős kiberfenyegetést jelentenek.

A mai fejlődő kiberkörnyezetben az ehhez hasonló támadások arra emlékeztetnek, hogy az ellátási lánc leggyengébb láncszeme széles körű károkat okozhat. A rendszeres frissítések, az ismert sebezhetőségek tudatosítása és a robusztus biztonsági gyakorlatok elengedhetetlen védelmet jelentenek az olyan fejlett, állandó fenyegetésekkel szemben, mint az APT37.

Amíg a régi szoftverek használatban maradnak, a kiberbűnözők továbbra is kihasználják ezeket a rejtett sebezhetőségeket. A kiberbiztonság proaktív megközelítését követeli meg az előrébb tartás, mert a következő nulladik napi kizsákmányolás már a sarkon lehet.