Аналитический центр AhnLab SEcurity (ASEC) и Национальный центр кибербезопасности (NCSC) обнаружили новую уязвимость в браузере Microsoft Internet Explorer (IE), которую злоумышленники использовали в рамках операции под кодовым именем "Operation Code on Toast". Задействован в этой операции известный северокорейская хакерская группа TA-RedAnt, которая уже ранее совершала атаки на перебежчиков из Северной Кореи и экспертов по северокорейским делам. В ходе атаки использовалась уязвимость нулевого дня в IE, а именно уязвимый движок браузера IE (jscript9.dll), который больше не поддерживается начиная с июня 2022 года.
TA-RedAnt APT
TA-RedAnt (также известный как RedEyes, ScarCruft, Group123, APT37 и т. д.).
Атака осуществлялась при помощи рекламной программы, которая устанавливалась вместе с различными бесплатными программами и использовала функцию под названием WebView для рендеринга веб-контента. Таким образом, если программы создавались на базе кода WebView от IE, то уязвимость IE также могла быть использована. Злоумышленники TA-RedAnt атаковали сервер рекламного агентства, загрузили рекламный контент и внедрили уязвимый код в скрипт рекламного контента. Атака происходила без взаимодействия пользователя, поэтому ее называют атакой с нулевым кликом.
Уязвимость проявляется в процессе оптимизации JavaScript-движка IE, когда один тип данных ошибочно воспринимается как другой, что ведет к путанице типов. Используя эту уязвимость, хакеры заставляли жертв загрузить вредоносное ПО на свой компьютер, где оно могло выполнять различные вредоносные действия, включая удаленные команды.
AhnLab и NCSC незамедлительно сообщили Microsoft о найденной уязвимости. Microsoft выпустила патч, который устраняет уязвимость (CVE-2024-38178) и рекомендует пользователям обновить свои системы для обеспечения защиты. Несмотря на то, что поддержка IE была прекращена, атаки, направленные на приложения, которые до сих пор используют IE, все еще возможны, поэтому компаниям и пользователям следует быть внимательными и вовремя обновлять свои системы с помощью последних патчей безопасности.
Indicators of Compromise
MD5
- b18a8ea838b6760f4857843cafe5717d
- b9d4702c1b72659f486259520f48b483
- bd2d599ab51f9068d8c8eccadaca103d
- da2a5353400bd5f47178cd7dae7879c5
- e11bb2478930d0b5f6c473464f2a2B6e
