威胁情报公司 AhnLab 和韩国国家网络安全中心 (NCSC) 指出，朝鲜黑客组织被指利用 IE 0day (CVE-2024-38178) 发动供应链攻击。

该漏洞被描述为脚本引擎内存损坏漏洞，可导致远程攻击者在以IE模式下使用 Edge 的目标系统上执行任意代码。

该漏洞的补丁已在8月13日发布，当时微软提到成功利用该漏洞需要用户点击一个构造的URL。AhnLab 和 NCSC 发现并报送了该漏洞，并在报告中提到该朝鲜威胁行动者被指为 APT37，也被称为 “RedEyes”、“Reaper”、”ScarCruft”、“Group123”和 “TA-RedAnt”等，在攻陷了一家广告公司后在一次零点击攻击中利用了该漏洞。

AhnLab 解释称，“该行动利用IE中的一个0day漏洞，利用安装在多款免费软件中安装中的某个特定 Toast 广告程序。”由于使用基于IE的WebView 来渲染 web 内容以展示广告的任何程序都易受 CVE-2024-38178的攻击，因此APT37 攻陷Toast 广告程序背后的在线广告机构，将其作为初始访问向量。

虽然微软在2022年终结了对IE的支持，但该易受攻击的 IE 浏览器引擎 (jscript9.dll) 仍然位于该广告程序中并仍然可在很多其它应用中找到。该公司解释称，“TA-RedAnt 第一次攻击韩国在线广告机构服务器获取广告程序来下载广告内容，之后将漏洞代码注入该服务器的广告内容脚本中。当该广告程序下载并渲染该广告内容时，该漏洞遭利用。因此，在无需任何用户交互的情况下，发生了零点击攻击。”

朝鲜APT组织利用该漏洞诱骗受害者将恶意软件下载到安装了 Toast 广告程序的系统上，可能接管受陷机器。

AhnLab 公司还发布一份朝语报告，详述了所观察到的活动，还提到了妥协指标 (IoCs)，帮助组织机构和用户寻找潜在的攻陷。APT37组织已活跃十多年并因在攻击中利用 IE 0day 而为人所知，它一直在攻击韩国个体、朝鲜叛逃者、活动家、记者和政策制定者等。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~