朝鲜黑客组织APT37利用IE零日漏洞发起供应链攻击，威胁升级

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，安全研究机构AhnLab和韩国国家网络安全中心（NCSC）揭示，朝鲜背景的APT37黑客组织（又称RedEyes、Reaper、ScarCruft）利用了最新的Internet Explorer（IE）零日漏洞CVE-2024-38178，发起了一场供应链攻击。这一漏洞被评为CVSS评分7.5，是一个脚本引擎内存损坏问题，可能导致任意代码执行。

APT37的攻击手段：IE零日漏洞再现

尽管IE已于2022年6月停止支持，APT37利用的这个漏洞依然影响着某些Windows应用程序。攻击者通过入侵韩国一家在线广告代理公司的服务器，将恶意代码注入广告脚本中，利用Toast广告程序中的过时IE WebView实现零点击攻击。这意味着受害者无需进行任何操作，恶意代码即可在后台自动下载并执行。

Toast广告程序与WebView的风险

APT37这次攻击的重点是Toast广告程序，这是一种出现在桌面右下角的弹窗通知程序。许多Toast广告程序使用WebView功能来渲染网页内容，但如果该程序使用了基于IE的WebView，那么IE的漏洞也会影响到这个程序。这使得APT37通过IE的JavaScript引擎（jscript9.dll）的类型混淆漏洞，成功将恶意软件下载到目标用户的设备上。

攻击后果与防御措施

一旦目标系统被感染，攻击者即可执行远程命令，获取对受害设备的全面控制。这类供应链攻击的隐蔽性极高，受害者可能完全不知情。研究人员指出，此次APT37的攻击是朝鲜国家支持的网络间谍活动的一部分，目标多为韩国的政府、国防、军事和媒体机构。

AhnLab发布的报告中详细列出了攻击的技术细节和相关的攻击指标（IoCs），提醒用户尽快更新系统并应用最新的安全补丁。

朝鲜APT37的历史与背景

APT37自2012年活跃以来，多次利用零日漏洞对韩国及其他地区的政府和行业组织进行攻击。2018年2月，FireEye将该组织与朝鲜政府联系起来，证据包括朝鲜IP地址的使用、与朝鲜时区工作时间一致的恶意软件编译时间戳等。该组织的攻击对象不仅包括韩国，还涉及日本、越南甚至中东的化工、制造、电子、航天、医疗和汽车行业。

网络安全警示

此次APT37的供应链攻击表明，尽管某些软件已停止支持，但其遗留漏洞仍然是网络攻击的重要目标。企业和用户必须保持警惕，及时更新系统并对网络安全进行定期审查。特别是对于使用过时软件的应用程序，应尽快更换或进行安全加固，以防止类似的供应链攻击再次发生。

结语：

在当前复杂的网络环境中，网络安全威胁日益多样化，APT37等国家背景的黑客组织更是频繁利用漏洞进行大规模网络间谍活动。企业和个人应不断加强安全意识，及时更新系统，防范零日漏洞攻击，保障自己的数据和信息安全。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜黑客组织APT37利用IE零日漏洞发起供应链攻击，威胁升级