North Korean Hackers Exploit Zero-Day Flaw (CVE-2024-38178) in “Operation Code on Toast”
2024/10/16 SecurityOnline — Microsoft Internet Explorer (IE) の脆弱性 CVE-2024-38178 が、北朝鮮のハッカーたちにより積極的に悪用されていることが、AhnLab Security Emergency response Center (ASEC) と National Cyber Security Center (NCSC) の共同レポートにより判明した。 この攻撃は Operation Code on Toast と呼ばれ、時代遅れの Toast 広告プログラムのユーザーをターゲットにして、マルウェアを配信している。
一連の攻撃を背後で操る脅威アクター TA-RedAnt (別名 RedEyes/ScarCruft/APT37) は、北朝鮮からの脱北者や北朝鮮問題に関与する個人をターゲットにしてきたという経歴がある。そして今回は、IE の JavaScript エンジン (jscript9.dll) の脆弱性を悪用して、脆弱な Toast 広告プログラムを実行しているシステムを侵害している。
この共同レポートには、「脆弱性 CVE-2024-38178 の原因は、IE の JavaScript エンジン (jscript9.dll) の最適化プロセス中に、あるタイプのデータが誤って別のタイプとして扱われるという、タイプ・コンフュージョンの発生にある」と記されている。
TA-RedAnt による攻撃チェーンは、韓国のオンライン広告代理店のサーバを侵害することから始まる。続いて、広告コンテンツ・スクリプトに悪意のコードを挿入し、その後に、Toast 広告プログラムを介して被害者のマシン上にダウンロードさせ、レンダリングさせる。それにより、ユーザーの操作を必要としない、ゼロクリック攻撃が発生する。
同レポートは、「その結果として、ユーザーによる操作を必要としない、ゼロクリック攻撃が発生した」と述べている。
この脆弱性は、数多くの Toast 広告プログラムが、Web コンテンツを表示するために IE ベースの WebView を使用しているという事実を悪用するものだ。2022年6月に Microsoft は IE のサポートを終了しているが、数多くのレガシー・アプリケーションが依然として IE の Javascript エンジンに依存しているため、このような攻撃の影響を受けやすくなっている。
このレポートは、「依然として IE を使用している一部の Windows アプリケーションを、標的とする攻撃が継続的に発見されている。したがって、ユーザー組織は細心の注意を払い、最新のセキュリティ・パッチを用いて、システムを更新する必要がある」と警告している。
この脆弱性について AhnLab と NCSC から報告された Microsoft は、CVE-2024-38178 (CVSS 7.5) を割り当て、2024年 月13日にパッチをリリースした。ユーザーに対して強く推奨されるのは、ただちにパッチを適用して、システムを最新バージョンに更新し、この脅威を軽減することである。
この悪意のオペレーションの詳細な分析については、AhnLab の Web サイトから、韓国語の完全レポートと概要レポートにアクセスできます。
まず、Toast という言葉の意味ですが、e-words では「Windows 10/11で、デスクトップ画面の右下に現れる、アプリケーションからの通知が表示される小さな長方形の領域であり、標準では5秒で消える」と解説されていました。つまり、この Toast 領域を使う広告が、IE ベースの WebView を要求することで、感染していくマルウェア・キャンペーンが、北朝鮮の APT により展開されているわけです。よろしければ、カテゴリ Malware も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.