北朝鮮のハッカーが「Internet Explorer」のゼロデイ脆弱性を悪用してマルウェア攻撃を仕掛ける

Internet Explorer(IE)は2022年にサポートが終了しましたが、互換性のためにWindows 10までのOSに標準搭載されているほか、Windows 11にもMicrosoft EdgeのIEモードとして存在し続けています。そんなIEのゼロデイ脆弱(ぜいじゃく)性を突いた攻撃を、北朝鮮のハッカー集団が行ったことが新しく確認されたと、韓国のサイバーセキュリティ当局が発表しました。

AhnLab and NCSC Release Joint Report on Microsoft Zero-Day Browser Vulnerability (CVE-2024-38178) - ASEC
https://asec.ahnlab.com/en/83877/

Malicious ads exploited Internet Explorer zero day to drop malware
https://www.bleepingcomputer.com/news/security/malicious-ads-exploited-internet-explorer-zero-day-to-drop-malware/

韓国の国家サイバー安全センター(NCSC)と同国のセキュリティ企業のAhnLabは2024年10月16日に、IEのゼロデイ脆弱性「CVE-2024-38178」に関する共同レポートを発表しました。

この脆弱性を悪用した攻撃を行ったのは、「ScarCruft」「RedEyes」「TA-RedAnt」などの名称でも知られている北朝鮮のハッカー集団「APT37」です。共同レポートによると、APT37はこれまでにも、ハッキング用メールやAndroidアプリ用のファイル(APKファイル)の脆弱性などを利用して、脱北者や北朝鮮問題を訴える人権活動家を標的とした攻撃を行ってきたとのこと。

2022年にも、APT37がIEの脆弱性「CVE-2022-41128」を悪用した攻撃を行っていたことが、Googleの脅威分析グループ(TAG)によって突き止められています。

北朝鮮のサイバー犯罪グループ「APT37」がInternet Explorerのゼロデイ脆弱性を突く攻撃を行っていたと判明 - GIGAZINE

今回の攻撃では、フリーソフトウェアとともにインストールされる「トースト広告」用のプログラムを対象としたマルウェアの「RokRAT」が使用されました。トースト広告とは、画面の下部や右下などに表示されるポップアップ形式の広告のこと。クリックしなくても、広告が表示されることでマルウェアに感染してしまうため、この攻撃はゼロクリック攻撃に分類されます。

主な手口は次の通り。APT37はまず韓国国内の広告代理店のサーバーに侵入し、韓国人が広く利用しているフリーソフトのトースト広告プログラムに細工を行いました。

問題の広告には、悪意あるiframe要素が含まれており、それがIEによってレンダリングされると、「ad_toast」というJavaScriptファイルがIEのJavaScriptエンジンである「JScript9.dll」の脆弱性を介してリモートコードを実行します。

その後RokRATは、感染した端末にある「.xls」や「.doc」や「.txt」など20種類の拡張子のファイルをYandexクラウドインスタンスに流出させたり、キーロギングやクリップボードの監視、スクリーンショットのキャプチャなどを行ったりしてデータを盗み取ります。

NCSCとAhnLabの通報を受けて、Microsoftは2024年8月のアップデートでCVE-2024-38178を修正しています。ただし、MicrosoftがWindowsの修正を行っても、マルウェアの直接的な感染経路となったフリーソフトはまだ修正されていない可能性があります。

この一件を取り上げたIT系ニュースサイトのBleepingComputerは「Microsoftは8月にIEの欠陥を修正しましたが、古いIEコンポーネントを使っているツールにただちに適用される保証はありません。そのため、古いIEコンポーネントを使っているフリーソフトは、引き続きユーザーを危険にさらしてしまいます」と指摘しました。

BleepingComputerは、問題のフリーソフトの具体的な名称についてAhnLabに問い合わせを行っており、詳細が判明し次第続報を報じる予定としています。