北朝鮮のハッカーがサプライチェーン攻撃でインターネットエクスプローラーの脆弱性を狙う

最近発見された Internet Explorer のゼロデイ脆弱性により、サイバースパイの根強い脅威が再び明らかになりました。最新の被害者は、悪名高い北朝鮮の APT37 グループ(別名 RedEyes、Reaper、ScarCruft、Group123、TA-RedAnt) に侵入された広告代理店です。この高度な攻撃は、同グループが Internet Explorer の欠陥を利用してサプライチェーンの脆弱性を通じてユーザーを標的にし、時代遅れの技術を悪用する能力を浮き彫りにしています。

Table of Contents

明白な視界で悪用される脆弱性

CVE-2024-38178 として追跡されているこの脆弱性は、Internet Explorer のスクリプトエンジン内のメモリ破損の問題に関連しています。Microsoft は 2022 年に Internet Explorer のサポートを終了しましたが、広告ソフトウェアを含む多くのアプリケーションは、引き続きその基盤となるコードに依存して機能しています。具体的には、この脆弱性は、ソフトウェアに埋め込まれたままになっているブラウザーエンジンコンポーネントである jscript9.dll 内に存在し、攻撃に対して脆弱な状態になっています。

AhnLab と韓国の国家サイバーセキュリティセンター (NCSC) によると、APT37 は脆弱なブラウザエンジンを標的にしてゼロクリック攻撃を仕掛けた。つまり、ユーザーが悪意のあるリンクやファイルにアクセスしなくても、システムが侵害される可能性がある。この欠陥により、リモートコード実行が可能になり、攻撃者は侵害された広告を表示するだけで、影響を受けるマシンを制御できるようになる。

攻撃の経緯

この攻撃は、APT37 が、さまざまな無料ソフトウェアにバンドルされている Toast 広告プログラムの背後にある韓国企業の広告サーバーに侵入したことから始まりました。侵入されたサーバーは、広告プログラムを通じて、脆弱な Internet Explorer エンジンを実行しているシステムに悪意のある広告を配布しました。これらの広告がダウンロードされレンダリングされると、ユーザーの操作なしに悪意のあるコードが実行され、ゼロクリック攻撃が発生しました。

APT37 はこの脆弱性を侵入口として利用し、影響を受けたシステムにマルウェアを送り込んだ。これはおそらく、脱北者、活動家、ジャーナリスト、政策立案者など、韓国情勢に関わる個人を標的とする広範な取り組みの一環だと考えられる。

マイクロソフトのパッチと継続的なリスク

マイクロソフトは 8 月 13 日に CVE-2024-38178 のパッチをリリースし、細工された URL をユーザーにクリックさせることでこの脆弱性に対処しました。しかし、このパッチは、侵害を受けた広告代理店とそのユーザーにとっては遅すぎました。この修正があっても、レガシーソフトウェアに Internet Explorer のエンジンが存在することは依然として大きなリスクです。

AhnLab は、多くのアプリケーションが Web コンテンツのレンダリングに Internet Explorer の WebView コンポーネントを使用し続けているため、この種の攻撃に対して脆弱になっていると警告しています。2 年以上前に廃止されたブラウザが依然として悪用されているという事実は、ソフトウェアを定期的に更新し、レガシーシステムを置き換えることの重要性を強調しています。

ゼロデイ攻撃からの保護

APT37 による CVE-2024-38178 の悪用は、古いソフトウェアであっても、組織がゼロデイ脆弱性に対して警戒を怠らないようにする必要があることを強く思い起こさせるものです。企業や個人が同様の攻撃のリスクを軽減するために実行できる手順をいくつか紹介します。

定期的なソフトウェア更新: すべてのソフトウェアが最新であることを確認し、古くなったアプリケーションやサポートされていないアプリケーションの使用を中止します。
侵害の兆候 (IoC) を監視する: AhnLab は、この攻撃に関連する IoC を含むレポートを公開しました。組織は、侵害の兆候を検出するために、ネットワークでこれらの兆候を監視する必要があります。
脆弱なソフトウェアを分離する: 特定のアプリケーションが古くて脆弱なソフトウェアコンポーネントに依存している場合は、攻撃が発生した場合にマルウェアが拡散するのを防ぐために、それらのアプリケーションをネットワークの残りの部分から分離します。