朝鲜黑客利用 Internet Explorer 漏洞发起供应链攻击
最近发现的 Internet Explorer 零日漏洞再次暴露了网络间谍活动的持续威胁。最新的受害者?一家广告公司遭到臭名昭著的朝鲜 APT37 组织的攻击,该组织又名 RedEyes、Reaper、ScarCruft、Group123 和 TA-RedAnt。这次复杂的攻击凸显了该组织利用过时技术的能力,利用 Internet Explorer 中的漏洞通过供应链漏洞瞄准用户。
Table of Contents
显而易见的漏洞
该漏洞的编号为 CVE-2024-38178,与 Internet Explorer 脚本引擎中的内存损坏问题有关。尽管微软在 2022 年停止了对 Internet Explorer 的支持,但许多应用程序(包括广告软件)仍依赖其底层代码来运行。具体来说,该漏洞存在于 jscript9.dll 中,这是一个嵌入在软件中的浏览器引擎组件,因此很容易受到攻击。
据 AhnLab 和韩国国家网络安全中心 (NCSC) 称,APT37 针对存在漏洞的浏览器引擎发起了零点击攻击。这意味着用户无需与恶意链接或文件交互,他们的系统就会受到攻击。该漏洞允许远程执行代码,使攻击者只需接触受感染的广告即可控制受影响的机器。
攻击如何展开
此次攻击始于 APT37 入侵一家韩国公司的广告服务器,该公司开发了 Toast 广告程序,该程序与各种免费软件捆绑在一起。被入侵的服务器随后通过广告程序向运行易受攻击的 Internet Explorer 引擎的系统分发恶意广告。在下载和呈现这些广告时,恶意代码无需任何用户交互即可执行,从而导致零点击攻击。
APT37 利用此漏洞作为切入点, 向受影响的系统投放恶意软件。这可能是针对涉足韩国事务的个人(包括脱北者、活动人士、记者和政策制定者)的更广泛行动的一部分。
微软的补丁和持续的风险
微软于 8 月 13 日发布了针对 CVE-2024-38178 的补丁,通过要求用户点击精心设计的 URL 来解决此漏洞。然而,对于受感染的广告公司及其用户来说,这个补丁来得太晚了。即使修复了这个问题,旧版软件中仍存在 Internet Explorer 引擎,这仍然是一个重大风险。
AhnLab 警告称,许多应用程序仍在使用 Internet Explorer 的 WebView 组件来呈现网页内容,因此很容易受到此类攻击。两年前已停用的浏览器仍被利用,这一事实凸显了定期更新软件和更换旧系统的重要性。
防范零日漏洞
APT37 对 CVE-2024-38178 的利用提醒我们,组织需要对零日漏洞保持警惕,即使是在过时的软件中。以下是企业和个人可以采取的一些步骤,以降低类似攻击的风险:
- 定期软件更新:确保所有软件都是最新的,并停止使用过时或不受支持的应用程序。
- 监控入侵指标 (IoC) :AhnLab 发布了一份包含与此次攻击相关的 IoC 的报告。组织应监控其网络以获取这些指标,以发现任何入侵迹象。
- 隔离易受攻击的软件:如果某些应用程序依赖于较旧的、易受攻击的软件组件,请将它们与网络的其余部分隔离,以防止在发生攻击时恶意软件的传播。
APT37 的持久性给我们的教训
APT37 又名 RedEyes,长期以来一直以知名个人和团体为目标,经常使用零日漏洞获取访问权限。他们最近的活动表明,即使经过十年的活动,他们仍然是一个重大的网络威胁。
在当今不断发展的网络环境中,此类攻击提醒我们,供应链中最薄弱的环节可能会造成广泛损害。定期更新、了解已知漏洞以及采取强有力的安全措施是抵御 APT37 等高级持续性威胁的重要防御措施。
只要旧版软件仍在使用,网络犯罪分子就会继续利用这些隐藏的漏洞。要保持领先,就需要采取主动的网络安全方法——因为下一个零日漏洞可能就在眼前。
