朝鲜有关联的组织APT37在供应链攻击中利用

2024-10-21 11:51:15 1 1186

一个与朝鲜有关的威胁,被追踪为APT 37,在供应链攻击中利用了最近的Internet Explorer零日漏洞,CVE-2024-38178(CVSS得分7.5)。

威胁情报公司AhnLab和韩国国家网络安全中心(NCSC)将此次攻击与朝鲜APT联系起来。此漏洞是一个脚本引擎内存损坏问题,可能导致任意代码执行。

“此攻击要求经过身份验证的客户端单击链接,以便未经身份验证的攻击者启动远程代码执行。”

阅读微软发布的公告,该公告在八月份解决了该缺陷。成功利用此漏洞需要攻击者首先准备目标,以便它在Internet Explorer模式下使用Edge。这些攻击者入侵了韩国在线广告代理服务器,将漏洞代码注入广告内容脚本。这导致了零点击攻击,不需要用户交互,因为广告程序自动下载并呈现恶意内容。该漏洞的根本原因是在IE的JavaScript引擎(jscript9.dll)的优化过程中错误处理了一种类型的数据,从而导致类型混淆。

APT37利用这一漏洞,诱骗受害者在安装了吐司广告程序的桌面上下载恶意软件。一旦系统受到感染,攻击者就可以执行多种恶意活动,例如执行远程命令。

关于作者

longbbyl21篇文章418篇回复

评论1次

要评论?请先  登录  或  注册