与朝鲜有关的 APT37 在最近的一次攻击中利用了 IE 零日漏洞

一个与朝鲜有关的威胁行为者，被追踪为APT37（也称为 RedEyes、TA-RedAnt、Reaper、ScarCruft、Group123），在一次供应链攻击中利用了最近的 Internet Explorer 零日漏洞（被追踪为CVE-2024-38178（CVSS 评分 7.5））。

威胁情报公司 AhnLab 和韩国国家网络安全中心 (NCSC) 将此次攻击与朝鲜 APT 联系起来。

该漏洞是一个脚本引擎内存损坏问题，可能导致任意代码执行。

“此攻击需要经过身份验证的客户端单击链接，以便未经身份验证的攻击者启动远程代码执行。”微软在 8 月份发布的针对此漏洞的公告中写道。“要成功利用此漏洞，攻击者需要首先准备目标，使其在 Internet Explorer 模式下使用 Edge。”

APT37 入侵了 Toast 广告计划背后的在线广告代理商，并发起了供应链攻击。

攻击者利用了 Toast 广告程序中的 Internet Explorer 零日漏洞，在供应链攻击中使用基于过时的 IE 的 WebView 进行初始访问。

研究人员指出，尽管 IE 将于 2022 年 6 月终止支持，但该漏洞仍然影响某些 Windows 应用程序。

威胁者入侵了一家韩国在线广告代理服务器，将漏洞代码注入广告内容脚本。这导致了零点击攻击，无需用户交互，因为广告程序会自动下载并呈现恶意内容。

“此次行动利用了 IE 中的零日漏洞，利用了与各种免费软件一起安装的特定 toast 广告程序。[Toast 是]一种出现在桌面屏幕底部（通常是右下角）的弹出通知。” AhnLab 发布的咨询报告中写道。

“许多 Toast 广告程序使用名为 WebView 的功能来呈现网页内容以显示广告。但是，WebView 基于浏览器运行。因此，如果程序创建者使用基于 IE 的 WebView 编写代码，则程序中也可能利用 IE 漏洞。因此，TA-RedAnt 利用了使用不再受支持的易受攻击的 IE 浏览器引擎 (jscript9.dll) 作为初始访问载体的 Toast 广告程序。微软于 2022 年 6 月终止了对 IE 的支持。但是，针对某些仍在使用 IE 的 Windows 应用程序的攻击不断被发现，因此组织和用户需要格外小心并使用最新的安全补丁更新其系统。”

该漏洞的根源是IE的JavaScript引擎（jscript9.dll）在优化过程中对某种类型的数据进行了错误的处理，导致类型混淆。APT37利用该漏洞，在安装了toast广告程序的电脑上诱骗受害者下载恶意软件，一旦系统被感染，攻击者便可执行执行远程命令等多种恶意行为。

AhnLab 发布的报告包含有关攻击和入侵指标 (IoC) 的详细信息。

APT37自 2012 年以来一直活跃，并于 2028 年 2 月初成为头条新闻，当时研究人员透露，该 APT 组织利用 Adobe Flash Player 中的 零日漏洞 向韩国用户传播恶意软件。

APT37组织发起的网络攻击主要针对韩国政府、国防、军队和媒体等组织。

2022 年 12 月，APT37 组织积极利用另一个 Internet Explorer 零日漏洞（跟踪编号为 CVE-2022-41128），针对韩国用户发起攻击。谷歌威胁分析小组的研究人员于 2022 年 10 月下旬发现了该零日漏洞，APT37 使用特制文档利用了该漏洞。

FireEye 的研究人员透露，2017 年，该民族国家行为者还针对了日本、越南甚至中东的实体进行了攻击。黑客的目标是化学、制造、电子、航空航天、医疗保健和汽车行业的组织。