北韓駭客在供應鏈攻擊中針對 Internet Explorer 漏洞
最近在 Internet Explorer 中發現的零日漏洞再次暴露了網路間諜活動的持續威脅。最新的受害者?一家廣告公司,受到臭名昭著的朝鮮 APT37 組織(也稱為 RedEyes、Reaper、ScarCruft、Group123 和 TA-RedAnt)的攻擊。這種複雜的攻擊凸顯了該組織利用過時技術的能力,利用 Internet Explorer 中的缺陷透過供應鏈漏洞來攻擊使用者。
Table of Contents
顯而易見的漏洞被利用
此漏洞編號為 CVE-2024-38178,與 Internet Explorer 腳本引擎內的記憶體損壞問題有關。儘管微軟於 2022 年終止了對 Internet Explorer 的支持,但包括廣告軟體在內的許多應用程式仍繼續依賴其底層程式碼來運行。具體來說,該漏洞存在於 jscript9.dll 中,jscript9.dll 是一個仍嵌入在軟體中的瀏覽器引擎元件,因此很容易受到攻擊。
據 AhnLab 和韓國國家網路安全中心 (NCSC) 稱,APT37 針對易受攻擊的瀏覽器引擎發動了零點擊攻擊。這意味著用戶不需要與惡意連結或文件交互,他們的系統就會受到損害。此缺陷允許遠端執行程式碼,使攻擊者能夠透過暴露受感染的廣告來控制受影響的機器。
攻擊是如何展開的
這次攻擊始於 APT37 破壞了 Toast 廣告程式背後的一家韓國公司的廣告伺服器,該程式與各種免費軟體捆綁在一起。然後,受感染的伺服器透過廣告程式將惡意廣告分發到執行易受攻擊的 Internet Explorer 引擎的系統。當這些廣告被下載和呈現時,惡意程式碼在沒有任何使用者互動的情況下執行,從而導致零點擊攻擊。
APT37 使用此漏洞作為 傳送惡意軟體至受影響系統的入口點。這可能是針對參與韓國事務的個人(包括脫北者、活動人士、記者和政策制定者)的更廣泛努力的一部分。
微軟的補丁和持續風險
微軟於8月13日發布了CVE-2024-38178的補丁,透過要求用戶點擊精心設計的URL來解決該漏洞。然而,對於受感染的廣告公司及其用戶來說,這個補丁來得太晚了。即使進行了此修復,舊版軟體中 Internet Explorer 引擎的存在仍然是一個重大風險。
AhnLab 警告說,許多應用程式繼續使用 Internet Explorer 的 WebView 元件來呈現 Web 內容,這使得它們容易受到此類攻擊。兩年多前退役的瀏覽器仍在被利用,這一事實凸顯了定期更新軟體和更換舊系統的重要性。
防範零日漏洞
APT37 對 CVE-2024-38178 的利用明確提醒組織需要對零日漏洞保持警惕,即使是在過時的軟體中也是如此。企業和個人可以採取以下一些步驟來降低類似攻擊的風險:
- 定期軟體更新:確保所有軟體都是最新的,並停止使用過時或不受支援的應用程式。
- 監控妥協指標 (IoC) :AhnLab 發布了一份報告,其中包含與此攻擊相關的 IoC。組織應該監控其網路的這些指標,以發現任何妥協的跡象。
- 隔離易受攻擊的軟體:如果某些應用程式依賴舊的、易受攻擊的軟體元件,請將它們與網路的其餘部分隔離,以防止在發生攻擊時惡意軟體的傳播。
APT37 持續存在的教訓
APT37,也稱為 RedEyes,長期以來一直以知名個人和團體為目標,經常利用零日漏洞來獲取訪問權限。他們的最新活動表明,即使經過十年的活動,他們仍然是一個重大的網路威脅。
在當今不斷發展的網路環境中,此類攻擊提醒我們,供應鏈中最薄弱的環節可能會造成廣泛的傷害。定期更新、了解已知漏洞以及強大的安全實踐是抵禦 APT37 等進階持續性威脅的基本防禦措施。
只要遺留軟體仍在使用,網路犯罪分子就會繼續利用這些隱藏的漏洞。保持領先需要採取積極主動的網路安全方法,因為下一個零日漏洞可能就在眼前。
