Noord-Koreaanse hackers richten zich op kwetsbaarheid van Internet Explorer in aanval op toeleveringsketen

Een onlangs ontdekte zero-day kwetsbaarheid in Internet Explorer heeft opnieuw de aanhoudende dreiging van cyberespionage blootgelegd. Het nieuwste slachtoffer? Een reclamebureau dat is gecompromitteerd door de beruchte Noord-Koreaanse APT37-groep , ook bekend als RedEyes, Reaper, ScarCruft, Group123 en TA-RedAnt. Deze geavanceerde aanval benadrukt het vermogen van de groep om verouderde technologie te misbruiken, door een fout in Internet Explorer te gebruiken om gebruikers te targeten via kwetsbaarheden in de toeleveringsketen.

Een kwetsbaarheid die in het zicht wordt uitgebuit

De kwetsbaarheid, die wordt gevolgd als CVE-2024-38178, is gekoppeld aan een geheugencorruptieprobleem in de scripting engine van Internet Explorer. Hoewel Microsoft in 2022 de ondersteuning voor Internet Explorer heeft beëindigd, vertrouwen veel applicaties, waaronder advertentiesoftware, nog steeds op de onderliggende code om te functioneren. De kwetsbaarheid bevindt zich met name in jscript9.dll, een browser engine-component die in software is ingebed, waardoor deze kwetsbaar is voor aanvallen.

Volgens AhnLab en het National Cyber Security Center (NCSC) van Zuid-Korea richtte APT37 zich op de kwetsbare browser-engine om een zero-click-aanval uit te voeren. Dit betekent dat gebruikers niet met schadelijke links of bestanden hoefden te interacteren om hun systemen te compromitteren. De fout maakte uitvoering van code op afstand mogelijk, waardoor de aanvallers de controle over de getroffen machines konden overnemen door simpelweg blootgesteld te worden aan gecompromitteerde advertenties.

Hoe de aanval zich ontvouwde

De aanval begon toen APT37 de advertentieserver van een Koreaans bedrijf achter het Toast-advertentieprogramma, dat werd gebundeld met verschillende gratis software, in gevaar bracht. De gecompromitteerde server verspreidde vervolgens schadelijke advertenties via het advertentieprogramma naar systemen die de kwetsbare Internet Explorer-engine draaiden. Terwijl deze advertenties werden gedownload en weergegeven, werd de schadelijke code uitgevoerd zonder enige interactie van de gebruiker, wat resulteerde in een zero-click-aanval.

APT37 gebruikte deze kwetsbaarheid als toegangspunt om malware te leveren aan de getroffen systemen . Dit was waarschijnlijk onderdeel van een bredere poging om individuen te targeten die betrokken waren bij Zuid-Koreaanse zaken, waaronder overlopers, activisten, journalisten en beleidsmakers.

Microsoft's patch en aanhoudende risico's

Microsoft bracht op 13 augustus een patch uit voor CVE-2024-38178, die de kwetsbaarheid aanpakt door gebruikers te verplichten op een gemanipuleerde URL te klikken. Deze patch kwam echter te laat voor het gecompromitteerde reclamebureau en zijn gebruikers. Zelfs met deze oplossing blijft de aanwezigheid van de engine van Internet Explorer in verouderde software een aanzienlijk risico.

AhnLab waarschuwt dat veel applicaties nog steeds het WebView-component van Internet Explorer gebruiken om webinhoud te renderen, waardoor ze kwetsbaar zijn voor dit type aanval. Het feit dat een browser die meer dan twee jaar geleden is stopgezet nog steeds wordt uitgebuit, onderstreept het belang van het regelmatig updaten van software en het vervangen van verouderde systemen.

Bescherming tegen zero-day-exploits

De exploitatie van CVE-2024-38178 door APT37 is een duidelijke herinnering aan de noodzaak voor organisaties om waakzaam te blijven tegen zero-day kwetsbaarheden, zelfs in verouderde software. Hier zijn een paar stappen die bedrijven en individuen kunnen nemen om het risico op soortgelijke aanvallen te verminderen:

  • Regelmatige software-updates : zorg ervoor dat alle software up-to-date is en stop met het gebruik van verouderde of niet-ondersteunde applicaties.
  • Monitor Indicators of Compromise (IoCs) : AhnLab heeft een rapport gepubliceerd met IoCs gerelateerd aan deze aanval. Organisaties moeten hun netwerken monitoren op deze indicatoren om tekenen van compromis te detecteren.
  • Isoleer kwetsbare software : als bepaalde applicaties afhankelijk zijn van oudere, kwetsbare softwarecomponenten, isoleer deze dan van de rest van uw netwerk om te voorkomen dat malware zich verspreidt in het geval van een aanval.

Lessen uit de persistentie van APT37

APT37, ook bekend als RedEyes, heeft een lange geschiedenis van het targeten van vooraanstaande personen en groepen, vaak met behulp van zero-day kwetsbaarheden om toegang te krijgen. Hun laatste campagne laat zien dat ze zelfs na een decennium van activiteit nog steeds een significante cyberdreiging vormen.

In het huidige veranderende cyberlandschap zijn aanvallen als deze een herinnering dat de zwakste schakel in de toeleveringsketen wijdverspreide schade kan veroorzaken. Regelmatige updates, bewustzijn van bekende kwetsbaarheden en robuuste beveiligingspraktijken zijn essentiële verdedigingen tegen geavanceerde persistente bedreigingen zoals APT37.

Zolang legacy software in gebruik blijft, zullen cybercriminelen deze verborgen kwetsbaarheden blijven uitbuiten. Om voorop te blijven lopen, is een proactieve benadering van cybersecurity nodig, want de volgende zero-day exploit kan zomaar om de hoek liggen.

Tegen Zane
October 18, 2024
Computer Security
Nederlands
October 18, 2024
Computer Security

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.