Hakerzy z Korei Północnej wykorzystują lukę w zabezpieczeniach programu Internet Explorer w ataku na łańcuch dostaw
Niedawno odkryta luka typu zero-day w przeglądarce Internet Explorer po raz kolejny ujawniła stałe zagrożenie cybernetycznego szpiegostwa. Najnowsza ofiara? Agencja reklamowa naruszona przez niesławną północnokoreańską grupę APT37 , znaną również jako RedEyes, Reaper, ScarCruft, Group123 i TA-RedAnt. Ten wyrafinowany atak podkreśla zdolność grupy do wykorzystywania przestarzałej technologii, wykorzystując lukę w przeglądarce Internet Explorer do atakowania użytkowników za pośrednictwem luk w łańcuchu dostaw.
Table of Contents
Luka w zabezpieczeniach wykorzystana na widoku
Oznaczona jako CVE-2024-38178 luka jest powiązana z problemem uszkodzenia pamięci w silniku skryptowym przeglądarki Internet Explorer. Podczas gdy Microsoft zakończył wsparcie dla przeglądarki Internet Explorer w 2022 r., wiele aplikacji, w tym oprogramowanie reklamowe, nadal polega na jego podstawowym kodzie, aby działać. Konkretnie, luka występuje w pliku jscript9.dll, komponencie silnika przeglądarki, który pozostaje osadzony w oprogramowaniu, co czyni go podatnym na ataki.
Według AhnLab i południowokoreańskiego Narodowego Centrum Cyberbezpieczeństwa (NCSC), APT37 zaatakował podatny silnik przeglądarki, aby uruchomić atak zero-click. Oznacza to, że użytkownicy nie musieli wchodzić w interakcję ze złośliwymi linkami lub plikami, aby ich systemy zostały naruszone. Luka umożliwiała zdalne wykonanie kodu, umożliwiając atakującym przejęcie kontroli nad zainfekowanymi maszynami po prostu poprzez narażenie na naruszone reklamy.
Jak przebiegał atak
Atak rozpoczął się, gdy APT37 włamał się na serwer reklamowy koreańskiej firmy stojącej za programem reklamowym Toast, który był dołączony do różnych darmowych programów. Następnie naruszony serwer rozprowadzał złośliwe reklamy za pośrednictwem programu reklamowego do systemów, w których działał podatny silnik Internet Explorer. Gdy reklamy te były pobierane i renderowane, złośliwy kod był wykonywany bez żadnej interakcji użytkownika, co skutkowało atakiem typu zero-click.
APT37 wykorzystał tę lukę jako punkt wejścia do dostarczania złośliwego oprogramowania do zainfekowanych systemów . Prawdopodobnie było to częścią szerszego wysiłku mającego na celu atakowanie osób zaangażowanych w sprawy Korei Południowej, w tym dezerterów, aktywistów, dziennikarzy i decydentów.
Poprawka firmy Microsoft i bieżące zagrożenia
Firma Microsoft wydała poprawkę dla CVE-2024-38178 13 sierpnia, usuwając lukę w zabezpieczeniach poprzez żądanie od użytkowników kliknięcia spreparowanego adresu URL. Jednak poprawka ta pojawiła się za późno dla zagrożonej agencji reklamowej i jej użytkowników. Nawet po tej poprawce obecność silnika Internet Explorera w starszym oprogramowaniu pozostaje znacznym ryzykiem.
AhnLab ostrzega, że wiele aplikacji nadal używa komponentu WebView przeglądarki Internet Explorer do renderowania zawartości sieci Web, co czyni je podatnymi na tego typu ataki. Fakt, że przeglądarka wycofana ponad dwa lata temu jest nadal wykorzystywana, podkreśla znaczenie regularnej aktualizacji oprogramowania i wymiany starszych systemów.
Ochrona przed atakami typu zero-day
Wykorzystanie CVE-2024-38178 przez APT37 jest jaskrawym przypomnieniem o potrzebie zachowania przez organizacje czujności wobec luk typu zero-day, nawet w przestarzałym oprogramowaniu. Oto kilka kroków, które firmy i osoby prywatne mogą podjąć, aby zmniejszyć ryzyko podobnych ataków:
- Regularne aktualizacje oprogramowania : Upewnij się, że całe oprogramowanie jest aktualne i zaprzestań używania przestarzałych lub nieobsługiwanych aplikacji.
- Monitoruj wskaźniki zagrożenia (IoC) : AhnLab opublikował raport zawierający wskaźniki zagrożenia związane z tym atakiem. Organizacje powinny monitorować swoje sieci pod kątem tych wskaźników, aby wykryć wszelkie oznaki zagrożenia.
- Izoluj podatne na ataki oprogramowanie : Jeśli pewne aplikacje wykorzystują starsze, podatne na ataki komponenty oprogramowania, odizoluj je od reszty sieci, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania w przypadku ataku.
Lekcje z wytrwałości APT37
APT37, znany również jako RedEyes, ma długą historię atakowania znanych osób i grup, często wykorzystując luki typu zero-day, aby uzyskać dostęp. Ich ostatnia kampania pokazuje, że nawet po dekadzie aktywności nadal stanowią poważne zagrożenie cybernetyczne.
W dzisiejszym rozwijającym się cybernetycznym krajobrazie ataki takie jak te przypominają, że najsłabsze ogniwo w łańcuchu dostaw może spowodować rozległe szkody. Regularne aktualizacje, świadomość znanych luk w zabezpieczeniach i solidne praktyki bezpieczeństwa to niezbędne środki obrony przed zaawansowanymi, trwałymi zagrożeniami, takimi jak APT37.
Dopóki starsze oprogramowanie będzie w użyciu, cyberprzestępcy będą nadal wykorzystywać te ukryte luki. Aby być o krok przed innymi, konieczne jest proaktywne podejście do cyberbezpieczeństwa — ponieważ kolejny atak typu zero-day może być tuż za rogiem.
