Nordkoreanska hackare inriktar sig på sårbarhet i Internet Explorer i Supply Chain Attack

En nyligen upptäckt nolldagarssårbarhet i Internet Explorer har återigen avslöjat det ihållande hotet om cyberspionage. Senaste offret? En reklambyrå komprometterad av den ökända nordkoreanska APT37-gruppen , även känd som RedEyes, Reaper, ScarCruft, Group123 och TA-RedAnt. Denna sofistikerade attack belyser gruppens förmåga att utnyttja föråldrad teknik, genom att använda ett fel i Internet Explorer för att rikta in sig på användare genom sårbarheter i försörjningskedjan.

En sårbarhet som utnyttjas i sikte

Spåras som CVE-2024-38178, är sårbarheten kopplad till ett problem med minneskorruption i Internet Explorers skriptmotor. Medan Microsoft avslutade stödet för Internet Explorer 2022, fortsätter många applikationer, inklusive reklamprogramvara, att förlita sig på dess underliggande kod för att fungera. Specifikt finns sårbarheten inom jscript9.dll, en webbläsarmotorkomponent som förblir inbäddad i programvaran, vilket gör den sårbar för attacker.

Enligt AhnLab och Sydkoreas National Cyber Security Center (NCSC), riktade APT37 sig mot den sårbara webbläsarmotorn för att starta en nollklicksattack. Detta innebär att användare inte behövde interagera med skadliga länkar eller filer för att deras system skulle äventyras. Felet tillät fjärrexekvering av kod, vilket gjorde det möjligt för angriparna att ta kontroll över drabbade maskiner helt enkelt genom exponering för komprometterade annonser.

Hur attacken utvecklades

Attacken började när APT37 äventyrade ett koreanskt företags reklamserver bakom annonsprogrammet Toast, som var paketerat med olika gratisprogram. Den komprometterade servern distribuerade sedan skadliga annonser via annonsprogrammet till system som kör den sårbara Internet Explorer-motorn. När dessa annonser laddades ner och renderades kördes den skadliga koden utan någon användarinteraktion, vilket resulterade i en nollklicksattack.

APT37 använde denna sårbarhet som en startpunkt för att leverera skadlig programvara till de drabbade systemen . Detta var sannolikt en del av ett bredare försök att rikta in sig på individer som är involverade i sydkoreanska angelägenheter, inklusive avhoppare, aktivister, journalister och beslutsfattare.

Microsofts patch och pågående risker

Microsoft släppte en patch för CVE-2024-38178 den 13 augusti, som åtgärdar sårbarheten genom att kräva att användare klickar på en skapad URL. Den här patchen kom dock för sent för den komprometterade reklambyrån och dess användare. Även med denna korrigering förblir närvaron av Internet Explorers motor i äldre programvara en betydande risk.

AhnLab varnar för att många applikationer fortsätter att använda Internet Explorers WebView-komponent för att rendera webbinnehåll, vilket gör dem sårbara för denna typ av attack. Det faktum att en webbläsare som gick i pension för över två år sedan fortfarande utnyttjas understryker vikten av att regelbundet uppdatera mjukvara och ersätta äldre system.

Skydd mot Zero-Day Exploats

APT37:s utnyttjande av CVE-2024-38178 tjänar som en skarp påminnelse om behovet för organisationer att vara vaksamma mot nolldagssårbarheter, även i föråldrad programvara. Här är några steg som företag och privatpersoner kan vidta för att minska risken för liknande attacker:

• Regelbundna programuppdateringar : Se till att all programvara är uppdaterad och sluta använda föråldrade eller ostödda applikationer.
• Monitor Indicators of Compromise (IoCs) : AhnLab har publicerat en rapport som innehåller IoCs relaterade till denna attack. Organisationer bör övervaka sina nätverk efter dessa indikatorer för att upptäcka eventuella tecken på kompromiss.
• Isolera sårbar programvara : Om vissa applikationer förlitar sig på äldre, sårbara programvarukomponenter, isolera dem från resten av ditt nätverk för att förhindra spridning av skadlig programvara i händelse av en attack.

Lärdomar från APT37's Persistence

APT37, även känd som RedEyes, har en lång historia av att rikta in sig på högprofilerade individer och grupper, ofta med hjälp av nolldagars sårbarheter för att få åtkomst. Deras senaste kampanj visar att även efter ett decennium av aktivitet förblir de ett betydande cyberhot.

I dagens utvecklande cyberlandskap är attacker som dessa en påminnelse om att den svagaste länken i försörjningskedjan kan orsaka omfattande skada. Regelbundna uppdateringar, medvetenhet om kända sårbarheter och robusta säkerhetsrutiner är viktiga försvar mot avancerade ihållande hot som APT37.

Så länge äldre mjukvara fortfarande används kommer cyberbrottslingar att fortsätta att utnyttja dessa dolda sårbarheter. Att ligga före kräver ett proaktivt förhållningssätt till cybersäkerhet – eftersom nästa nolldagars utnyttjande kan vara precis runt hörnet.