揭秘朝鲜黑客组织APT37：如何利用IE零日漏洞攻击加密行业

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

引言

在全球网络安全的舞台上，朝鲜黑客组织APT37（也称为RedEyes、TA-RedAnt、Reaper、ScarCruft、Group123）再次引发了广泛关注。近期，该组织利用了一个被称为CVE-2024-38178的Internet Explorer零日漏洞，通过一场复杂的供应链攻击，针对韩国的加密行业及政府机构实施恶意活动。这次攻击不仅展示了他们的技术手段，还揭示了他们背后的攻击策略和深层次目标。

APT37的攻击手法

APT37组织通过精心设计的网络钓鱼邮件和伪装成合法PDF文档的恶意广告，成功渗透韩国的在线广告代理商，并利用IE零日漏洞对Toast广告程序实施攻击。Toast广告程序是一种经常与免费软件一起安装的桌面弹出通知程序，该程序利用了基于IE的WebView来呈现内容。这意味着虽然IE已经在2022年终止支持，但某些应用仍然受到其漏洞的影响。

APT37正是通过这种弱点，将恶意代码注入到广告内容中，从而实现了“零点击攻击”，即用户无需主动点击任何内容，系统便自动下载和呈现恶意软件。

漏洞的根源与APT37的攻击策略

据AhnLab的研究人员介绍，该漏洞源于IE的JavaScript引擎（jscript9.dll）在处理某些数据时发生的内存损坏。这使得APT37可以通过恶意广告诱导受害者下载恶意软件，进而在受害设备上执行远程命令、窃取敏感信息等一系列恶意行为。

APT37的攻击步骤

1. 钓鱼邮件伪装：APT37向受害者发送包含恶意广告链接的钓鱼邮件，这些邮件主题均围绕着热门加密货币资讯，例如“比特币价格飙升的隐患”等，意图吸引用户点击。

2. 恶意代码注入：APT37利用在线广告代理的服务器，将恶意代码注入广告内容，一旦显示，恶意软件便会开始在目标设备中下载并执行恶意操作。

3. 系统持久性控制：APT37通过控制Zsh配置文件，确保恶意代码能在每次系统启动时自动运行，实现对系统的持久控制。

APT37的背景与目标

APT37组织成立于2012年，长期以来专注于针对韩国、日本及东南亚的政府机构、军队和媒体公司实施网络攻击。FireEye的研究揭示，APT37的目标与朝鲜政府利益高度一致，不仅涵盖半岛统一相关机构，还延伸至化工、制造、电子、航天和汽车等多个行业。该组织的攻击手段多样，尤其擅长利用最新的零日漏洞，如早前的Flash Player和IE漏洞。

APT37的全球扩张与威胁

APT37不仅在韩国和日本有大量活动，还将目标扩展到越南和中东等地。他们的恶意软件编译时间符合朝鲜时区的工作习惯，进一步印证了其国家背景。

总结

APT37再次以其先进的技术和灵活的攻击手段震撼网络安全领域。此次通过IE零日漏洞发动的攻击，显示出他们在全球范围内的潜在威胁。面对日益复杂的网络攻击，组织和个人应加强安全意识，定期更新系统补丁，以防止APT37这样的高级黑客组织入侵。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友入圈沟通交流。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：揭秘朝鲜黑客组织APT37：如何利用IE零日漏洞攻击加密行业