Šiaurės Korėjos įsilaužėliai taikosi į „Internet Explorer“ pažeidžiamumą tiekimo grandinės atakos metu
Neseniai aptiktas nulinės dienos „Internet Explorer“ pažeidžiamumas dar kartą atskleidė nuolatinę kibernetinio šnipinėjimo grėsmę. Paskutinė auka? Reklamos agentūra, sukompromituota liūdnai pagarsėjusios Šiaurės Korėjos APT37 grupės , dar žinomos kaip RedEyes, Reaper, ScarCruft, Group123 ir TA-RedAnt. Ši sudėtinga ataka pabrėžia grupės gebėjimą išnaudoti pasenusias technologijas, naudojant „Internet Explorer“ trūkumą, siekiant nukreipti vartotojus per tiekimo grandinės pažeidžiamumą.
Table of Contents
Pažeidžiamumas, išnaudojamas akivaizdžiai
Pažeidžiamumas, pažymėtas kaip CVE-2024-38178, yra susietas su „Internet Explorer“ scenarijų variklio atminties pažeidimo problema. Nors 2022 m. „Microsoft“ nutraukė „Internet Explorer“ palaikymą, daugelis programų, įskaitant reklamavimo programinę įrangą, ir toliau priklauso nuo jos pagrindinio kodo. Tiksliau, pažeidžiamumas yra jscript9.dll – naršyklės variklio komponente, kuris lieka įdėtas į programinę įrangą, todėl jis yra pažeidžiamas atakoms.
Anot „AhnLab“ ir Pietų Korėjos nacionalinio kibernetinio saugumo centro (NCSC), APT37 nusitaikė į pažeidžiamą naršyklės variklį, kad pradėtų nulinio paspaudimo ataką. Tai reiškia, kad vartotojams nereikėjo bendrauti su kenkėjiškomis nuorodomis ar failais, kad jų sistemos būtų pažeistos. Defektas leido nuotoliniu būdu vykdyti kodą, o tai leido užpuolikams perimti paveiktų mašinų kontrolę tiesiog pateikdami pažeistus skelbimus.
Kaip prasidėjo puolimas
Ataka prasidėjo, kai APT37 sukompromitavo Korėjos įmonės reklamos serverį, esantį už Toast reklamos programos, kuri buvo susieta su įvairia nemokama programine įranga. Tada pažeistas serveris per skelbimų programą platino kenkėjiškus skelbimus sistemoms, kuriose veikia pažeidžiamas „Internet Explorer“ variklis. Kai šie skelbimai buvo atsisiunčiami ir pateikiami, kenkėjiškas kodas buvo vykdomas be jokio vartotojo sąveikos, todėl įvyko nulinio paspaudimo ataka.
APT37 naudojo šį pažeidžiamumą kaip įėjimo tašką kenkėjiškoms programoms į paveiktas sistemas pristatyti . Tikėtina, kad tai buvo dalis platesnių pastangų, nukreiptų į asmenis, susijusius su Pietų Korėjos reikalais, įskaitant perbėgėlius, aktyvistus, žurnalistus ir politikos formuotojus.
„Microsoft“ pataisa ir nuolatinė rizika
Rugpjūčio 13 d. Microsoft išleido pataisą CVE-2024-38178, pašalindama pažeidžiamumą, reikalaudama vartotojams spustelėti sukurtą URL. Tačiau šis pleistras susikompromitavusiai reklamos agentūrai ir jos vartotojams pasirodė per vėlai. Net ir su šiuo pataisymu, „Internet Explorer“ variklio buvimas senoje programinėje įrangoje išlieka didelė rizika.
„AhnLab“ perspėja, kad daugelis programų ir toliau naudoja „Internet Explorer“ „WebView“ komponentą žiniatinklio turiniui pateikti, todėl jos yra pažeidžiamos tokio tipo atakoms. Tai, kad daugiau nei prieš dvejus metus nebenaudojama naršyklė vis dar naudojama, pabrėžia reguliaraus programinės įrangos atnaujinimo ir senų sistemų keitimo svarbą.
Apsauga nuo nulinės dienos išnaudojimų
APT37 išnaudojimas CVE-2024-38178 yra ryškus priminimas, kad organizacijos turi būti budrios dėl nulinės dienos pažeidžiamumų, net ir pasenusios programinės įrangos. Štai keli žingsniai, kurių įmonės ir asmenys gali imtis, kad sumažintų panašių išpuolių riziką:
- Reguliarūs programinės įrangos atnaujinimai : įsitikinkite, kad visa programinė įranga yra atnaujinta, ir nebenaudokite pasenusių arba nepalaikomų programų.
- Stebėti kompromiso rodiklius (IoC) : „AhnLab“ paskelbė ataskaitą, kurioje pateikiami su šia ataka susiję IoC. Organizacijos turėtų stebėti savo tinklus, ar šie rodikliai aptiktų bet kokius kompromiso požymius.
- Atskirkite pažeidžiamą programinę įrangą : jei tam tikros programos priklauso nuo senesnių, pažeidžiamų programinės įrangos komponentų, izoliuokite jas nuo likusio tinklo, kad atakos atveju išvengtumėte kenkėjiškų programų plitimo.
APT37 atkaklumo pamokos
APT37, taip pat žinomas kaip „RedEyes“, turi ilgą istoriją, kai taikosi į aukšto lygio asmenis ir grupes, dažnai naudodamas nulinės dienos pažeidžiamumą, kad gautų prieigą. Naujausia jų kampanija rodo, kad net po dešimtmečio veiklos jie išlieka reikšminga kibernetinė grėsmė.
Šiuolaikinėje besivystančioje kibernetinės erdvės aplinkoje tokios atakos primena, kad silpniausia tiekimo grandinės grandis gali padaryti didelę žalą. Reguliarūs atnaujinimai, žinojimas apie žinomus pažeidžiamumus ir patikima saugumo praktika yra pagrindinė apsauga nuo pažangių nuolatinių grėsmių, tokių kaip APT37.
Kol bus naudojama senoji programinė įranga, kibernetiniai nusikaltėliai ir toliau naudosis šiais paslėptais pažeidžiamumu. Norint išlikti priekyje, reikia imtis aktyvaus požiūrio į kibernetinį saugumą, nes kitas nulinės dienos išnaudojimas gali būti visai šalia.
