Nordkoreanske hackere sikter mot Internet Explorer-sårbarhet i forsyningskjedeangrep
Et nylig oppdaget nulldagssårbarhet i Internet Explorer har nok en gang avslørt den vedvarende trusselen om nettspionasje. Det siste offeret? Et reklamebyrå kompromittert av den beryktede nordkoreanske APT37-gruppen , også kjent som RedEyes, Reaper, ScarCruft, Group123 og TA-RedAnt. Dette sofistikerte angrepet fremhever gruppens evne til å utnytte utdatert teknologi ved å bruke en feil i Internet Explorer for å målrette brukere gjennom sårbarheter i forsyningskjeden.
Table of Contents
En sårbarhet som er utnyttet i sikte
Sporet som CVE-2024-38178, er sikkerhetsproblemet knyttet til et problem med minnekorrupsjon i Internet Explorers skriptmotor. Mens Microsoft avsluttet støtten for Internet Explorer i 2022, fortsetter mange applikasjoner, inkludert reklameprogramvare, å stole på den underliggende koden for å fungere. Nærmere bestemt eksisterer sårbarheten i jscript9.dll, en nettlesermotorkomponent som forblir innebygd i programvaren, og gjør den sårbar for angrep.
I følge AhnLab og Sør-Koreas nasjonale cybersikkerhetssenter (NCSC), målrettet APT37 den sårbare nettlesermotoren for å starte et nullklikksangrep. Dette betyr at brukere ikke trengte å samhandle med ondsinnede lenker eller filer for at systemene deres skulle bli kompromittert. Feilen tillot ekstern kjøring av kode, noe som gjorde det mulig for angriperne å ta kontroll over berørte maskiner ganske enkelt gjennom eksponering for kompromitterte annonser.
Hvordan angrepet utviklet seg
Angrepet begynte da APT37 kompromitterte reklameserveren til et koreansk selskap bak annonseprogrammet Toast, som var buntet med diverse gratis programvare. Den kompromitterte serveren distribuerte deretter ondsinnede annonser gjennom annonseprogrammet til systemer som kjører den sårbare Internet Explorer-motoren. Ettersom disse annonsene ble lastet ned og gjengitt, ble den ondsinnede koden utført uten brukerinteraksjon, noe som resulterte i et null-klikk-angrep.
APT37 brukte dette sikkerhetsproblemet som et inngangspunkt for å levere skadevare til de berørte systemene . Dette var sannsynligvis en del av en bredere innsats for å målrette mot personer involvert i sørkoreanske saker, inkludert avhoppere, aktivister, journalister og politiske beslutningstakere.
Microsofts patch og pågående risikoer
Microsoft ga ut en oppdatering for CVE-2024-38178 13. august, som adresserer sårbarheten ved å kreve at brukere klikker på en laget URL. Imidlertid kom denne oppdateringen for sent for det kompromitterte reklamebyrået og dets brukere. Selv med denne løsningen er tilstedeværelsen av Internet Explorers motor i eldre programvare fortsatt en betydelig risiko.
AhnLab advarer om at mange applikasjoner fortsetter å bruke Internet Explorers WebView-komponent for å gjengi nettinnhold, noe som gjør dem sårbare for denne typen angrep. Det faktum at en nettleser som ble pensjonert for over to år siden fortsatt blir utnyttet, understreker viktigheten av å regelmessig oppdatere programvare og erstatte eldre systemer.
Beskyttelse mot Zero-Day-utnyttelser
APT37s utnyttelse av CVE-2024-38178 tjener som en sterk påminnelse om behovet for organisasjoner å være på vakt mot nulldagssårbarheter, selv i utdatert programvare. Her er noen få skritt som bedrifter og enkeltpersoner kan ta for å redusere risikoen for lignende angrep:
- Regelmessige programvareoppdateringer : Sørg for at all programvare er oppdatert, og avbryt bruken av utdaterte eller ikke-støttede applikasjoner.
- Monitor Indicators of Compromise (IoCs) : AhnLab har publisert en rapport som inneholder IoCs relatert til dette angrepet. Organisasjoner bør overvåke nettverkene sine for disse indikatorene for å oppdage eventuelle tegn på kompromiss.
- Isoler sårbar programvare : Hvis enkelte applikasjoner er avhengige av eldre, sårbare programvarekomponenter, isoler dem fra resten av nettverket for å forhindre spredning av skadelig programvare i tilfelle et angrep.
Leksjoner fra APT37s Persistence
APT37, også kjent som RedEyes, har en lang historie med å målrette mot høyprofilerte individer og grupper, ofte ved å bruke nulldagssårbarheter for å få tilgang. Deres siste kampanje viser at selv etter et tiår med aktivitet, er de fortsatt en betydelig cybertrussel.
I dagens utviklende cyberlandskap er angrep som disse en påminnelse om at det svakeste leddet i forsyningskjeden kan forårsake omfattende skade. Regelmessige oppdateringer, bevissthet om kjente sårbarheter og robust sikkerhetspraksis er viktige forsvar mot avanserte vedvarende trusler som APT37.
Så lenge eldre programvare fortsatt er i bruk, vil nettkriminelle fortsette å utnytte disse skjulte sårbarhetene. Å ligge i forkant krever en proaktiv tilnærming til cybersikkerhet – fordi neste nulldagers utnyttelse kan være rett rundt hjørnet.
