Kuzey Kore destekli gelişmiş kalıcı tehdit APT37 olarak bilinir Araştırmacılar, Microsoft’un Internet Explorer Web tarayıcısındaki sıfır gün güvenlik açığından yaz boyunca yararlandığını ve bunu Güney Kore hedeflerine sıfır tıklamalı tedarik zinciri kampanyası başlatmak için kullandığını ortaya çıkardı.
IE 2022’de kullanım ömrünün sonuna ulaşmış ve birçok kuruluş artık onu kullanmasa da, bunu kullanan pek çok eski uygulama da mevcut. Bu durumda, APT37 AhnLab SEcurity Intelligence Center’a (ASEC) göre (diğer adıyla RedAnt, RedEyes, ScarCruft ve Group123), genellikle çeşitli ücretsiz yazılımlarla birlikte yüklenen bir Toast reklam programını özellikle hedef aldı. “Kızartmalar”, bilgisayar ekranının sağ alt kısmında görünen açılır bildirimlerdir.
AhnLab araştırmacılarına göre “Birçok Toast reklam programı, reklamları görüntülemek üzere Web içeriğini oluşturmak için WebView adı verilen bir özelliği kullanıyor.” “Ancak WebView bir tarayıcıya dayalı olarak çalışıyor. Bu nedenle, programı oluşturan kişi kodu yazmak için IE tabanlı WebView kullanmışsa, programdaki IE güvenlik açıklarından da yararlanılabilir.”
Sıcak Tereyağlı Sıfır Tıklamalı Tost İstismarı
AhnLab’ın geçen hafta yayınlanan analizine göre, devlet destekli siber saldırı grubu bir reklam ajansının güvenliğini ihlal etti ve ardından hatayı kullanarak şu şekilde takip edildi: CVE-2024-38178 (CVSS 7.5), ajansın reklam içeriğini insanların masaüstüne indirmek için kullandığı Toast komut dosyasına kötü amaçlı kod enjekte etmek. Komut dosyası, reklamlar yerine kötü amaçlı yazılım dağıtmaya başladı.
Araştırmacılar, “Toast Kodu” adını verdikleri saldırıyla ilgili raporlarında, “Bu güvenlik açığı, reklam programı reklam içeriğini indirip görüntülerken istismar ediliyor” dedi. “Sonuç olarak, kullanıcının herhangi bir etkileşimi olmadan sıfır tıklama saldırısı gerçekleşti.”
Teslim edilen kötü amaçlı yazılım, APT37’nin geçmişte sürekli olarak kullandığı RokRAT’tır.
Araştırmacılar, “Sisteme bulaştıktan sonra, uzaktan komutlar gibi çeşitli kötü amaçlı davranışlar gerçekleştirilebilir” dedi ve ekledi: “Bu saldırıda kuruluş, kötü niyetli faaliyetlerin kalıcılığını güvence altına almak için Ruby’yi de kullanıyor ve ticari bir bulut sunucusu aracılığıyla komut kontrolünü gerçekleştiriyor. “
Saldırının ciddi hasara neden olma potansiyeli olduğunu ancak saldırının erken tespit edildiğini söylediler. AhnLab’a göre “Ayrıca, güvenlik açığı yaması sürümü yayınlanmadan önce istismar potansiyeline sahip olduğu doğrulanan diğer Toast reklam programlarına karşı da güvenlik önlemleri alındı.”
IE Uygulamalarda Gizleniyor ve Siber Tehdit Olarak Kalıyor
Microsoft, Ağustos Yaması Salı güncelleme listesinde hatayı düzeltti, ancak IE’nin diğer uygulamalarda yerleşik bir bileşen veya ilgili modül olarak kullanılmaya devam edilmesi endişe verici bir saldırı vektörü ve bilgisayar korsanlarının bu hatayı almaya devam etmeleri için bir teşvik olmaya devam ediyor. IE sıfır gün güvenlik açıkları.
AhnLab araştırmacıları raporda şöyle açıkladı: “Bu tür saldırılara karşı yalnızca kullanıcıların dikkatini veya antivirüs programını kullanarak savunma yapmak zor değil, aynı zamanda istismar edilen yazılıma bağlı olarak da büyük bir etkiye sahip olabilir.” (PDFKorece).
“Son zamanlarda Kuzey Koreli bilgisayar korsanlığı gruplarının teknolojik seviyesi daha da ileri seviyeye geliyor ve IE dışındaki çeşitli güvenlik açıklarından yararlanan saldırılar giderek artıyor.”
Buna göre kullanıcıların işletim sistemlerini ve yazılımlarını güncel tutmaya dikkat etmeleri gerektiği ancak “yazılım üreticilerinin de ürün geliştirirken güvenliğe açık geliştirme kütüphaneleri ve modüllerini kullanmamaya dikkat etmeleri gerektiği” sonucuna varıldı.
Çeviri Google Translate tarafından sağlanmıştır.