聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞被描述为脚本引擎内存损坏漏洞,可导致远程攻击者在以IE模式下使用 Edge 的目标系统上执行任意代码。
该漏洞的补丁已在8月13日发布,当时微软提到成功利用该漏洞需要用户点击一个构造的URL。AhnLab 和 NCSC 发现并报送了该漏洞,并在报告中提到该朝鲜威胁行动者被指为 APT37,也被称为 “RedEyes”、“Reaper”、”ScarCruft”、“Group123”和 “TA-RedAnt”等,在攻陷了一家广告公司后在一次零点击攻击中利用了该漏洞。
AhnLab 解释称,“该行动利用IE中的一个0day漏洞,利用安装在多款免费软件中安装中的某个特定 Toast 广告程序。”由于使用基于IE的WebView 来渲染 web 内容以展示广告的任何程序都易受 CVE-2024-38178的攻击,因此APT37 攻陷Toast 广告程序背后的在线广告机构,将其作为初始访问向量。
虽然微软在2022年终结了对IE的支持,但该易受攻击的 IE 浏览器引擎 (jscript9.dll) 仍然位于该广告程序中并仍然可在很多其它应用中找到。该公司解释称,“TA-RedAnt 第一次攻击韩国在线广告机构服务器获取广告程序来下载广告内容,之后将漏洞代码注入该服务器的广告内容脚本中。当该广告程序下载并渲染该广告内容时,该漏洞遭利用。因此,在无需任何用户交互的情况下,发生了零点击攻击。”
朝鲜APT组织利用该漏洞诱骗受害者将恶意软件下载到安装了 Toast 广告程序的系统上,可能接管受陷机器。
AhnLab 公司还发布一份朝语报告,详述了所观察到的活动,还提到了妥协指标 (IoCs),帮助组织机构和用户寻找潜在的攻陷。APT37组织已活跃十多年并因在攻击中利用 IE 0day 而为人所知,它一直在攻击韩国个体、朝鲜叛逃者、活动家、记者和政策制定者等。
原文始发于微信公众号(代码卫士):朝鲜APT被指利用IE 0day 发动供应链攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论