Hackers norte-coreanos atacam vulnerabilidade do Internet Explorer em ataque à cadeia de suprimentos

Uma vulnerabilidade de dia zero descoberta recentemente no Internet Explorer expôs mais uma vez a ameaça persistente da espionagem cibernética. A vítima mais recente? Uma agência de publicidade comprometida pelo notório grupo norte-coreano APT37 , também conhecido como RedEyes, Reaper, ScarCruft, Group123 e TA-RedAnt. Este ataque sofisticado destaca a capacidade do grupo de explorar tecnologia desatualizada, usando uma falha no Internet Explorer para atingir usuários por meio de vulnerabilidades da cadeia de suprimentos.

Uma vulnerabilidade explorada à vista de todos

Rastreada como CVE-2024-38178, a vulnerabilidade está vinculada a um problema de corrupção de memória no mecanismo de script do Internet Explorer. Embora a Microsoft tenha encerrado o suporte ao Internet Explorer em 2022, muitos aplicativos, incluindo software de publicidade, continuam a depender de seu código subjacente para funcionar. Especificamente, a vulnerabilidade existe no jscript9.dll, um componente do mecanismo do navegador que permanece incorporado no software, deixando-o vulnerável a ataques.

De acordo com o AhnLab e o National Cyber Security Center (NCSC) da Coreia do Sul, o APT37 tinha como alvo o mecanismo vulnerável do navegador para lançar um ataque de clique zero. Isso significa que os usuários não precisavam interagir com links ou arquivos maliciosos para que seus sistemas fossem comprometidos. A falha permitia a execução remota de código, permitindo que os invasores assumissem o controle das máquinas afetadas simplesmente por meio da exposição a anúncios comprometidos.

Como o ataque se desenrolou

O ataque começou quando o APT37 comprometeu o servidor de anúncios de uma empresa coreana por trás do programa de anúncios Toast, que foi empacotado com vários softwares gratuitos. O servidor comprometido então distribuiu anúncios maliciosos por meio do programa de anúncios para sistemas que executavam o mecanismo vulnerável do Internet Explorer. Conforme esses anúncios eram baixados e renderizados, o código malicioso era executado sem nenhuma interação do usuário, resultando em um ataque de clique zero.

O APT37 usou essa vulnerabilidade como um ponto de entrada para entregar malware aos sistemas afetados . Isso provavelmente fazia parte de um esforço mais amplo para atingir indivíduos envolvidos em assuntos sul-coreanos, incluindo desertores, ativistas, jornalistas e formuladores de políticas.

Patch da Microsoft e riscos contínuos

A Microsoft lançou um patch para CVE-2024-38178 em 13 de agosto, abordando a vulnerabilidade ao exigir que os usuários cliquem em uma URL criada. No entanto, esse patch chegou tarde demais para a agência de publicidade comprometida e seus usuários. Mesmo com essa correção, a presença do mecanismo do Internet Explorer em software legado continua sendo um risco significativo.

AhnLab alerta que muitos aplicativos continuam a usar o componente WebView do Internet Explorer para renderizar conteúdo da web, tornando-os vulneráveis a esse tipo de ataque. O fato de um navegador aposentado há mais de dois anos ainda estar sendo explorado ressalta a importância de atualizar regularmente o software e substituir sistemas legados.

Proteção contra explorações de dia zero

A exploração do CVE-2024-38178 pelo APT37 serve como um lembrete claro da necessidade de as organizações permanecerem vigilantes contra vulnerabilidades de dia zero, mesmo em softwares desatualizados. Aqui estão algumas etapas que empresas e indivíduos podem seguir para reduzir o risco de ataques semelhantes:

• Atualizações regulares de software : certifique-se de que todo o software esteja atualizado e interrompa o uso de aplicativos desatualizados ou sem suporte.
• Monitorar Indicadores de Comprometimento (IoCs) : A AhnLab publicou um relatório contendo IoCs relacionados a este ataque. As organizações devem monitorar suas redes para esses indicadores para detectar quaisquer sinais de comprometimento.
• Isole softwares vulneráveis : se determinados aplicativos dependem de componentes de software mais antigos e vulneráveis, isole-os do restante da rede para evitar a propagação de malware no caso de um ataque.

Lições da persistência do APT37

APT37, também conhecido como RedEyes, tem um longo histórico de atingir indivíduos e grupos de alto perfil, frequentemente usando vulnerabilidades de dia zero para obter acesso. Sua campanha mais recente demonstra que, mesmo após uma década de atividade, eles continuam sendo uma ameaça cibernética significativa.

No cenário cibernético em evolução de hoje, ataques como esses são um lembrete de que o elo mais fraco na cadeia de suprimentos pode causar danos generalizados. Atualizações regulares, conscientização sobre vulnerabilidades conhecidas e práticas de segurança robustas são defesas essenciais contra ameaças persistentes avançadas como APT37.

Enquanto o software legado permanecer em uso, os cibercriminosos continuarão a explorar essas vulnerabilidades ocultas. Ficar à frente requer uma abordagem proativa à segurança cibernética — porque o próximo exploit de dia zero pode estar logo ali na esquina.