Северокорейские хакеры атаковали цепочку поставок, используя уязвимость Internet Explorer

Недавно обнаруженная уязвимость нулевого дня в Internet Explorer снова выявила постоянную угрозу кибершпионажа. Последняя жертва? Рекламное агентство, скомпрометированное печально известной северокорейской группой APT37 , также известной как RedEyes, Reaper, ScarCruft, Group123 и TA-RedAnt. Эта сложная атака подчеркивает способность группы эксплуатировать устаревшие технологии, используя уязвимость в Internet Explorer для атаки на пользователей через уязвимости цепочки поставок.

Уязвимость, использованная на виду

Уязвимость, отслеживаемая как CVE-2024-38178, связана с проблемой повреждения памяти в скриптовом движке Internet Explorer. Хотя Microsoft прекратила поддержку Internet Explorer в 2022 году, многие приложения, включая рекламное ПО, продолжают полагаться на его базовый код для работы. В частности, уязвимость существует в jscript9.dll, компоненте движка браузера, который остается встроенным в программное обеспечение, что делает его уязвимым для атак.

По данным AhnLab и Национального центра кибербезопасности Южной Кореи (NCSC), APT37 нацелилась на уязвимый движок браузера, чтобы запустить атаку с нулевым кликом. Это означает, что пользователям не нужно было взаимодействовать с вредоносными ссылками или файлами, чтобы их системы были скомпрометированы. Уязвимость позволяла удаленное выполнение кода, что позволяло злоумышленникам получить контроль над пораженными машинами просто через воздействие скомпрометированной рекламы.

Как разворачивалась атака

Атака началась, когда APT37 скомпрометировала рекламный сервер корейской компании, стоящей за рекламной программой Toast, которая была связана с различным бесплатным программным обеспечением. Затем скомпрометированный сервер распространял вредоносную рекламу через рекламную программу в системы, работающие под управлением уязвимого движка Internet Explorer. По мере загрузки и отображения этих объявлений вредоносный код выполнялся без какого-либо взаимодействия с пользователем, что приводило к атаке с нулевым кликом.

APT37 использовала эту уязвимость как точку входа для доставки вредоносного ПО в уязвимые системы . Вероятно, это было частью более масштабных усилий по атаке на лиц, вовлеченных в дела Южной Кореи, включая перебежчиков, активистов, журналистов и политиков.

Патч Microsoft и текущие риски

Microsoft выпустила исправление для CVE-2024-38178 13 августа, устраняющее уязвимость, требуя от пользователей нажать на созданный URL. Однако это исправление появилось слишком поздно для скомпрометированного рекламного агентства и его пользователей. Даже с этим исправлением наличие движка Internet Explorer в устаревшем программном обеспечении остается значительным риском.

AhnLab предупреждает, что многие приложения продолжают использовать компонент WebView Internet Explorer для отображения веб-контента, что делает их уязвимыми для этого типа атак. Тот факт, что браузер, вышедший из эксплуатации более двух лет назад, все еще эксплуатируется, подчеркивает важность регулярного обновления программного обеспечения и замены устаревших систем.

Защита от эксплойтов нулевого дня

Использование APT37 уязвимости CVE-2024-38178 служит суровым напоминанием о необходимости для организаций сохранять бдительность в отношении уязвимостей нулевого дня, даже в устаревшем программном обеспечении. Вот несколько шагов, которые компании и частные лица могут предпринять, чтобы снизить риск подобных атак:

• Регулярные обновления программного обеспечения : убедитесь, что все программное обеспечение обновлено, и прекратите использование устаревших или неподдерживаемых приложений.
• Индикаторы компрометации (IoC) : AhnLab опубликовал отчет, содержащий IoC, связанные с этой атакой. Организациям следует отслеживать свои сети на предмет этих индикаторов, чтобы обнаружить любые признаки компрометации.
• Изолируйте уязвимое программное обеспечение : если определенные приложения используют старые уязвимые программные компоненты, изолируйте их от остальной части вашей сети, чтобы предотвратить распространение вредоносного ПО в случае атаки.

Уроки, извлеченные из упорства APT37

APT37, также известная как RedEyes, имеет долгую историю атак на известных лиц и группы, часто используя уязвимости нулевого дня для получения доступа. Их последняя кампания показывает, что даже после десятилетия активности они остаются значительной киберугрозой.

В сегодняшнем развивающемся киберпространстве такие атаки являются напоминанием о том, что самое слабое звено в цепочке поставок может нанести масштабный ущерб. Регулярные обновления, осведомленность об известных уязвимостях и надежные методы обеспечения безопасности являются важнейшими мерами защиты от современных постоянных угроз, таких как APT37.

Пока устаревшее программное обеспечение будет использоваться, киберпреступники будут продолжать использовать эти скрытые уязвимости. Чтобы оставаться впереди, необходим проактивный подход к кибербезопасности, поскольку следующая уязвимость нулевого дня может быть уже не за горами.