Gli hacker nordcoreani prendono di mira la vulnerabilità di Internet Explorer nell'attacco alla supply chain

Una vulnerabilità zero-day scoperta di recente in Internet Explorer ha nuovamente esposto la minaccia persistente dello spionaggio informatico. L'ultima vittima? Un'agenzia pubblicitaria compromessa dal famigerato gruppo nordcoreano APT37 , noto anche come RedEyes, Reaper, ScarCruft, Group123 e TA-RedAnt. Questo attacco sofisticato evidenzia la capacità del gruppo di sfruttare tecnologie obsolete, utilizzando una falla in Internet Explorer per colpire gli utenti tramite vulnerabilità della supply chain.

Una vulnerabilità sfruttata in bella vista

Tracciata come CVE-2024-38178, la vulnerabilità è legata a un problema di corruzione della memoria nel motore di scripting di Internet Explorer. Mentre Microsoft ha terminato il supporto per Internet Explorer nel 2022, molte applicazioni, tra cui il software pubblicitario, continuano a fare affidamento sul suo codice sottostante per funzionare. Nello specifico, la vulnerabilità esiste in jscript9.dll, un componente del motore del browser che rimane incorporato nel software, lasciandolo vulnerabile agli attacchi.

Secondo AhnLab e il National Cyber Security Center (NCSC) della Corea del Sud, APT37 ha preso di mira il motore del browser vulnerabile per lanciare un attacco zero-click. Ciò significa che gli utenti non hanno dovuto interagire con link o file dannosi perché i loro sistemi venissero compromessi. La falla ha consentito l'esecuzione di codice remoto, consentendo agli aggressori di prendere il controllo delle macchine interessate semplicemente tramite l'esposizione a pubblicità compromesse.

Come si è svolto l'attacco

L'attacco è iniziato quando APT37 ha compromesso il server pubblicitario di una società coreana dietro il programma pubblicitario Toast, che era in bundle con vari software gratuiti. Il server compromesso ha quindi distribuito annunci dannosi tramite il programma pubblicitario ai sistemi che eseguivano il motore vulnerabile di Internet Explorer. Mentre questi annunci venivano scaricati e renderizzati, il codice dannoso veniva eseguito senza alcuna interazione da parte dell'utente, con conseguente attacco zero-click.

APT37 ha utilizzato questa vulnerabilità come punto di ingresso per distribuire malware ai sistemi interessati . Ciò faceva probabilmente parte di uno sforzo più ampio per colpire individui coinvolti negli affari sudcoreani, tra cui disertori, attivisti, giornalisti e decisori politici.

Patch di Microsoft e rischi in corso

Microsoft ha rilasciato una patch per CVE-2024-38178 il 13 agosto, risolvendo la vulnerabilità richiedendo agli utenti di cliccare su un URL contraffatto. Tuttavia, questa patch è arrivata troppo tardi per l'agenzia pubblicitaria compromessa e i suoi utenti. Anche con questa correzione, la presenza del motore di Internet Explorer nel software legacy rimane un rischio significativo.

AhnLab avverte che molte applicazioni continuano a usare il componente WebView di Internet Explorer per il rendering di contenuti web, rendendole vulnerabili a questo tipo di attacco. Il fatto che un browser ritiratosi più di due anni fa sia ancora sfruttato sottolinea l'importanza di aggiornare regolarmente il software e sostituire i sistemi legacy.

Protezione contro gli exploit Zero-Day

Lo sfruttamento di CVE-2024-38178 da parte di APT37 serve come un duro promemoria della necessità per le organizzazioni di rimanere vigili contro le vulnerabilità zero-day, anche in software obsoleti. Ecco alcuni passaggi che aziende e privati possono adottare per ridurre il rischio di attacchi simili:

• Aggiornamenti software regolari : assicurarsi che tutto il software sia aggiornato e interrompere l'utilizzo di applicazioni obsolete o non supportate.
• Monitora gli indicatori di compromissione (IoC) : AhnLab ha pubblicato un report contenente IoC correlati a questo attacco. Le organizzazioni dovrebbero monitorare le proprie reti per questi indicatori per rilevare eventuali segnali di compromissione.
• Isolare il software vulnerabile : se determinate applicazioni si basano su componenti software vecchi e vulnerabili, è opportuno isolarli dal resto della rete per impedire la diffusione di malware in caso di attacco.

Lezioni dalla persistenza di APT37

APT37, noto anche come RedEyes, ha una lunga storia di attacchi a individui e gruppi di alto profilo, spesso utilizzando vulnerabilità zero-day per ottenere l'accesso. La loro ultima campagna dimostra che anche dopo un decennio di attività, rimangono una minaccia informatica significativa.

Nell'attuale panorama informatico in continua evoluzione, attacchi come questi ci ricordano che l'anello più debole della supply chain può causare danni estesi. Aggiornamenti regolari, consapevolezza delle vulnerabilità note e solide pratiche di sicurezza sono difese essenziali contro minacce persistenti avanzate come APT37.

Finché il software legacy rimarrà in uso, i criminali informatici continueranno a sfruttare queste vulnerabilità nascoste. Per rimanere al passo con i tempi è necessario un approccio proattivo alla sicurezza informatica, perché il prossimo exploit zero-day potrebbe essere dietro l'angolo.