Аналитический центр AhnLab SEcurity (ASEC) совместно с Национальным центром кибербезопасности (NCSC) обнаружили опасную уязвимость в браузере Microsoft Internet Explorer (IE), которая активно эксплуатировалась хакерской группировкой TA-RedAnt в рамках операции "Operation Code on Toast". Эта северокорейская группа, также известная как RedEyes, ScarCruft, APT37 и Group123, уже не раз привлекала внимание своими атаками на перебежчиков из КНДР и экспертов по северокорейским вопросам. На этот раз злоумышленники воспользовались уязвимостью нулевого дня в движке jscript9.dll, который перестал поддерживаться Microsoft еще в июне 2022 года.
Описание
Особенность этой атаки заключалась в том, что она не требовала взаимодействия с пользователем - так называемая атака с нулевым кликом. Вредоносный код распространялся через рекламное ПО, которое устанавливалось вместе с бесплатными программами. Злоумышленники взломали сервер рекламного агентства и подменили легитимный контент на вредоносный скрипт, использующий уязвимость IE. Поскольку многие приложения до сих пор задействуют компоненты WebView на основе IE, атака оказалась возможной даже несмотря на официальное прекращение поддержки браузера.
Уязвимость связана с ошибкой в процессе оптимизации JavaScript-движка Internet Explorer, когда один тип данных ошибочно интерпретировался как другой, что приводило к путанице типов. Это позволяло хакерам выполнять произвольный код на компьютерах жертв, загружать вредоносное ПО и получать контроль над системами. Учитывая, что атака происходила автоматически при загрузке рекламы, пользователи могли даже не подозревать о компрометации своих устройств.
После обнаружения уязвимости AhnLab и NCSC оперативно уведомили Microsoft, и компания выпустила патч (CVE-2024-38178), закрывающий эту брешь в безопасности. В официальном заявлении Microsoft подчеркнула, что, несмотря на прекращение поддержки IE, риски остаются, так как некоторые приложения продолжают использовать его компоненты. Поэтому пользователям и компаниям настоятельно рекомендуется устанавливать последние обновления безопасности, чтобы минимизировать угрозы.
Эксперты по кибербезопасности отмечают, что атаки через устаревшее ПО остаются одним из излюбленных методов хакерских группировок, особенно связанных с государственными структурами. TA-RedAnt уже давно фигурирует в отчетах о целевых атаках, и ее активность в последнее время только усиливается. В данном случае злоумышленники выбрали сложный вектор атаки, который позволил им обойти стандартные меры защиты и заражать системы без ведома пользователей.
Специалисты рекомендуют не только своевременно обновлять ПО, но и ограничивать использование устаревших приложений, особенно тех, которые задействуют компоненты IE. Кроме того, важно применять дополнительные средства защиты, такие как антивирусные решения с функцией обнаружения атак нулевого дня, системы мониторинга сетевой активности и фильтрации рекламного трафика.
Данный инцидент в очередной раз демонстрирует, что даже после официального прекращения поддержки программного обеспечения оно может оставаться мишенью для киберпреступников. Компаниям и частным пользователям необходимо проявлять бдительность, поскольку подобные уязвимости могут использоваться для масштабных атак, включая промышленный шпионаж и кражу конфиденциальных данных. Microsoft продолжает отслеживать подобные угрозы и выпускать патчи, однако конечная ответственность за безопасность лежит на самих пользователях.
Индикаторы компрометации
MD5
- b18a8ea838b6760f4857843cafe5717d
- b9d4702c1b72659f486259520f48b483
- bd2d599ab51f9068d8c8eccadaca103d
- da2a5353400bd5f47178cd7dae7879c5
- e11bb2478930d0b5f6c473464f2a2B6e
