北朝鮮ハッカー RedAnt による Code on Toast 攻撃:IE のゼロデイ CVE-2024-38178 を悪用

Operation “Code on Toast”: A Deep Dive into TA-RedAnt’s Exploitation of Zero-Day Flaw (CVE-2024-38178)

2024/12/01 SecurityOnline — Operation Code on Toast と呼ばれる、高度で大規模なサイバー攻撃が、北朝鮮ハッカーの TA-RedAnt により展開されている。Internet Explorer の新たな脆弱性を悪用する攻撃の仕組みと、それに続くマルウェアの展開に関するレポートが、韓国の NCSC ( National Cyber Security Center) と AhnLab のセキュリティ研究者により公開されている。

TA-RedAnt (別名 APT37) は、高度なサイバー攻撃に精通しており、北朝鮮からの脱北者や北朝鮮専門家などの、数多くの韓国国民に対する標的型攻撃を行ってきた。韓国のNCSC /AhnLab の共同レポートには、「2024年5月に、TA-RedAnt による大規模な攻撃が検知された。この攻撃には、韓国国民の間で広くインストール/使用されている、フリーのソフトウェアが悪用されていた。この攻撃は、新しい IE の脆弱性を悪用するものであり、フリー・ソフトウェアに埋め込まれたポップアップ広告プログラムで発見された。我々は、Microsoft に速やかに通知し、さらなる被害を防止した」と記載されている。

TA-RedAnt が悪用したのは、IE のレガシー・エンジンである Chakra (jscript9.dll) に存在する、脆弱性 CVE-2024-38178 であるが、この攻撃が発見された時点では未知のものだった。この攻撃は、一見すると無害なトースト広告 (フリー・ソフトウェアに表示されるポップアップ・ウィンドウ) を介して展開され、脆弱性 CVE-2024-38178 を悪用するリモート・コマンド実行へといたるものだ。

NCSC とAhnLab の共同レポートによると、「この IE の脆弱性は、トースト広告を表示するプログラムを介して悪用されていた。ハッカーは、国内の広告代理店のサーバに侵入し、トースト広告プログラムに配信される HTML コードに、悪意の iframe を注入していた」とのことだ。

TA-RedAnt が IE の脆弱性を悪用するのは、これが初めてのことではない。レポートには、「このような事例の最初のものは、2021年1月に発生した、国内ニュースサイトに対する、いわゆる “ウォーター・ホーリング攻撃” であった。翌年の 2022年10月には、悪意の MS Word 文書の配布というケースが発生している」と記載されている。

この脆弱性 CVE-2024-38178 が悪用されると、多段階のマルウェアチェーンが展開され、最終的に RokRAT の亜種が実行される。RokRAT とは、TA-RedAnt が使用する既知の悪意のツールのことである。攻撃は、以下のような段階で展開される:

  1. 第1段階のマルウェア:explorer.exe に注入され、解析を回避するように設計されている。
  2. 第2段階のマルウェア:システム情報を収集し、ステージング・サーバに転送する。
  3. RokRAT:コマンド&コントロールにクラウド・サービスを利用することで、外部へと機密データを送信し、外部からのコマンドを実行する。

AhnLab の分析により、「RokRAT マルウェアは、デフォルトで Yandex Cloud を使用するように設定されている。しかし、他のクラウド・サービスと通信するための、コマンド機能も備えている」ことが明らかになった。

Microsoft は、2024年8月13日の August 2024 Patch Tuesday の一環で、 CVE-2024-38178 に対するパッチをリリースしている。この共同レポートは、「早期における発見と、Microsoft を含むセキュリティ企業の協力により、さらなる被害を防ぐことに成功した」と強調している。

この攻撃が浮き彫りにするのは、レガシー・ソフトウェアのリスクである。Microsoft は IE を廃止する方針であるが、一部のアプリでは IE 統合が継続しているため、それらのシステムは脆弱な状態にある。開発者にとって必要なことは、リスクの高いモジュールの廃止であり、また、ユーザーはアップデートに注意を払うべきである。

レポートは、「ユーザーに対して推奨されるのは、OS やソフトウェアのセキュリティ・アップデートを定期的かつ確実に適用することである。また、開発者が、製品開発時に避けるべきものとしては、セキュリティ・リスクが生じやすいライブラリ/モジュールがある」と締め括られている。

この Code on Toast という攻撃手法ですが、Web コンテンツ内のフレーム内に、悪意の広告が表示され、そこで IE の脆弱性が悪用されるというものです。2024/10/16 にも、「Internet Explorer (IE) の脆弱性 CVE-2024-38178 を悪用:北朝鮮の TA-RedAnt とは?」という記事をポストしていますが、今回の記事が改めてポストされるということは、その後も攻撃が続いていからなのでしょう。よろしければ、Internet Explorer で検索も、ご参照ください。