与朝鲜有联系的黑客组织 TA-RedAnt 卷入了一场被称为 “Toast代码 ”的复杂的大规模网络攻击,通过一个新颖的 Internet Explorer(IE)漏洞攻击毫无戒心的用户。来自韩国国家网络安全中心(NCSC)和 AhnLab 的安全研究人员在他们的联合报告中披露了这次攻击,报告详细介绍了漏洞利用的机制和随后的恶意软件部署。
TA-RedAnt 又称 APT37,对高级网络行动并不陌生。从历史上看,该组织曾对朝鲜脱北者、韩国朝鲜问题专家和更广泛的韩国受众进行过有针对性的攻击。报告指出:“2024 年 5 月,TA-RedAnt 发现了一次大规模攻击,涉及在韩国公众中广泛安装和使用的免费软件。[……]这次攻击利用了在免费软件中嵌入的弹出式广告程序中发现的一个新的 IE 漏洞,及时通知了微软以防止进一步的破坏。”
该组织利用了 IE 传统 Chakra 引擎(jscript9.dll)中一个之前未知的漏洞(CVE-2024-38178)。该攻击通过免费软件中显示的看似无害的吐司广告–弹出式窗口–传播,利用该漏洞执行远程命令。
报告解释说:“IE 漏洞是通过一个显示吐司广告的程序被利用的……黑客潜入国内一家广告代理公司的服务器,在传递给吐司广告程序的 HTML 代码中注入恶意 iframe。”
这并不是 TA-RedAnt 第一次利用 IE 漏洞。正如报告中指出的,以前的活动包括对媒体机构的灌水漏洞攻击和分发恶意 Word 文档: “2021年1月,第一起此类案件是对一家国内新闻媒体的所谓 “灌水漏洞攻击”……第二起案件涉及2022年10月分发的恶意MS Word文档。”
一旦漏洞被利用,就会部署一个多阶段恶意软件链,最终执行 RokRAT 的变种,这是 TA-RedAnt 使用的一种已知恶意工具。攻击阶段包括:
- 第一阶段恶意软件:注入 explorer.exe,旨在逃避分析。
- 第二阶段恶意软件: 收集系统信息并将其转发至中转服务器。
- RokRAT:利用云服务进行指挥和控制,渗出敏感数据并执行命令。
AhnLab 的分析显示:“该恶意软件默认配置为使用 Yandex 云,但它也包含根据命令与其他云服务通信的功能。”
微软于 2024 年 8 月 13 日发布了 CVE-2024-38178 补丁,这是其常规更新周期的一部分。报告强调:“包括微软在内的安全公司及早发现并通力合作,成功阻止了进一步的危害。”
这次攻击凸显了传统软件的风险。尽管微软已经废弃了 IE,但它仍继续集成到一些应用程序中,使系统容易受到攻击。我们敦促开发人员放弃有风险的模块,用户必须对更新保持警惕。
报告总结说:“用户必须勤奋地定期对操作系统和软件进行安全更新,而开发人员则必须避免在产品开发过程中使用容易产生安全风险的库和模块。”