AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) ve Ulusal Siber Güvenlik Merkezi (NCSC) tarafından hazırlanan ortak bir rapor, Microsoft Internet Explorer’da (IE) Kuzey Koreli bilgisayar korsanları tarafından aktif olarak istismar edilen yeni bir sıfır gün güvenlik açığını (CVE-2024-38178) ortaya çıkardı .
“Tost Operasyon Kodu” olarak adlandırılan kampanya, kötü amaçlı yazılım dağıtmak için güncelliğini kaybetmiş tost reklam programlarının kullanıcılarını hedefliyor.
Saldırıların arkasındaki tehdit aktörü TA-RedAnt (RedEyes, ScarCruft ve APT37 olarak da bilinir), Kuzey Koreli sığınmacıları ve Kuzey Kore işlerine karışan kişileri hedef alma geçmişine sahiptir.
Bu sefer, IE’nin JavaScript motorundaki (jscript9.dll) bir güvenlik açığından yararlanarak, savunmasız tost reklam programlarını çalıştıran sistemleri tehlikeye atıyorlar.
Kullanım Metodolojisi
TA-RedAnt’ın Kuzey Koreli sığınmacılar ve Kuzey Kore meselelerindeki uzmanlar gibi bireyleri hedef alma geçmişi var. Bu operasyonda, belirli bir tost reklam programını manipüle etmek için IE’deki sıfır gün güvenlik açığından yararlandılar.
Genellikle ücretsiz yazılımlarla birlikte verilen bu programlar, Web Görünümü’nü kullanarak web içeriğini işler. WebView IE tabanlıysa IE güvenlik açıklarına karşı duyarlı hale gelir.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Saldırı, TA-RedAnt’ın Koreli bir çevrimiçi reklam ajansının sunucusunu tehlikeye atmasıyla başlar. ASEC raporuna göre, daha sonra reklam içeriği komut dosyasına kötü amaçlı kod enjekte ediyorlar ve bu kod daha sonra kurbanın makinesine indirilen ve tost reklam programı tarafından işleniyor.
Bu, kullanıcı etkileşimi gerektirmeyen bir “sıfır tıklama” saldırısıyla sonuçlanır. Sistemler bir kez ele geçirildiğinde, uzaktan erişim de dahil olmak üzere çeşitli kötü amaçlı faaliyetlere karşı savunmasız hale geldi.
Microsoft’un Haziran 2022’de IE desteğini sonlandırmasına rağmen birçok Windows uygulaması hâlâ Microsoft’un motoruna güveniyor ve bu da onları savunmasız bırakıyor. Saldırganlar ilk olarak Koreli bir çevrimiçi reklam ajansının sunucusuna sızdı.
Sunucunun reklam içeriği komut dosyasına kötü amaçlı kod enjekte ederek, tost reklam programı reklam içeriğini indirip oluşturduğunda kullanıcı etkileşimi gerektirmeyen bir sıfır tıklama saldırısını tetiklediler.
Güvenlik açığının keşfedilmesi üzerine AhnLab ve NCSC bunu derhal Microsoft’a bildirdi.
13 Ağustos’ta Microsoft, CVSS puanı 7,5 olan CVE-2024-38178’i yayınladı ve tehdidi azaltmak için bir yama yayınladı. Kullanıcıların ve kuruluşların, olası istismarlara karşı korunmak için bu güncelleştirmeyi derhal uygulamaları tavsiye edilir.
Öneriler
- Microsoft’un en son güvenlik yamalarını uygulayın.
- Sistemlerin en son sürümlere güncellendiğinden emin olun.
- Geliştiriciler, yazılım ürünlerinde güncelliğini yitirmiş kitaplıkları veya modülleri kullanmaktan kaçınmalıdır.
- Kullanıcılar, yazılımlarını düzenli olarak güncellemek gibi temel siber güvenlik önlemlerine uymalıdır.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)