【安全资讯】“吐司代码行动”:深入分析TA-RedAnt对零日漏洞的利用(CVE-2024-38178)

安恒恒脑 2024-12-02 19:07:54 612人浏览

概要:

近期,北韩黑客组织TA-RedAnt实施了一场名为“吐司代码行动”的复杂网络攻击,利用了一个新的Internet Explorer(IE)漏洞,针对无辜用户展开攻击。韩国国家网络安全中心(NCSC)与AhnLab的联合报告揭示了这一攻击的机制及后续的恶意软件部署,强调了网络安全的重要性。

主要内容:

TA-RedAnt,亦称APT37,以其先进的网络操作而闻名,此次攻击于2024年5月被发现,涉及广泛使用的免费软件。攻击者通过一个嵌入在免费软件中的弹出广告程序,利用了IE的一个新漏洞(CVE-2024-38178),成功执行远程命令。报告指出,黑客通过入侵一家国内广告公司的服务器,将恶意iframe注入到弹出广告程序的HTML代码中。

此次攻击并非TA-RedAnt首次利用IE漏洞,过去的攻击包括对媒体机构的水坑攻击和恶意Word文档的传播。攻击分为多个阶段,最终部署了RokRAT恶意工具。第一阶段恶意软件被注入到explorer.exe中,旨在规避分析;第二阶段则收集系统信息并传送至中转服务器。

AhnLab的分析显示,恶意软件默认使用Yandex Cloud进行命令与控制,并能够与其他云服务进行通信。微软于2024年8月13日发布了针对CVE-2024-38178的补丁,报告强调,早期检测和安全公司之间的合作成功防止了进一步的损害。此事件突显了遗留软件的风险,开发者应避免使用存在安全风险的模块,用户则需保持对系统和软件的定期更新。
零日漏洞 恶意软件 科技公司 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。