Internet Explorerにゼロデイ脆弱性、北朝鮮のサイバー攻撃者が悪用

画像提供：マイナビニュース

AhnLabは10月16日、「AhnLab and NCSC Release Joint Report on Microsoft Zero-Day Browser Vulnerability (CVE-2024-38178) - ASEC」において、同社のセキュリティインテリジェンスセンターおよび韓国国家サイバーセキュリティセンター(NCSC: National Cyber Security Center)の共同調査により、Microsoft Internet Explorerからゼロデイのセキュリティ脆弱性を発見したと報じた。

この脆弱性はすでにMicrosoftにより修正されアップデートが公開されているが、それ以前に北朝鮮の国家支援を受けているとみられる脅威アクター「TA-RedAnt(別名：ScarCruft、RedEyes、Group123、APT37)」に悪用されたとして注意を呼びかけている。

○脆弱性の情報

発見された脆弱性の概要は次のページにまとまっている。

(PDF) Operation "Code on Toast" by TA-RedAnt - NCSC REPORT Cyber Threat Analysis
CVE-2024-38178 - セキュリティ更新プログラム ガイド - Microsoft - スクリプトエンジンのメモリー破損の脆弱性

脆弱性の情報(CVE)は次のとおり。

CVE-2024-38178 - スクリプトエンジンにメモリー破壊の脆弱性(CVSSスコア： 7.5)

○侵害経路

AhnLabの報告によると、対象の脆弱性を悪用したサイバー攻撃「Code on Toast」において、北朝鮮の脅威アクターは最初に韓国のオンライン広告代理店のサーバーに不正アクセスしたという。この広告代理店は無料のアプリなどにバンドルされるトースト広告(画面右下にポップアップ表示される広告)を提供しており、この配信システムのプログラムを改造して悪意のあるスクリプトを含むHTMLコードを配信できるようにした。

広告として配信された悪意のあるスクリプトは、Internet ExplorerのJavaScriptエンジン「jscript9.dll」に存在する脆弱性を悪用し、ゼロクリックのリモートコード実行(RCE: Remote Code Execution)を行い、マルウェア「RokRAT」の亜種を展開した。

○影響と対策

このサイバー攻撃で配布されたマルウェア「RokRAT」の亜種は、Windowsスタートアップを使用して永続性を確保する。また、「explorer.exe」や「system32」以下のシステムファイルに感染することが確認されている。セキュリティソリューションを回避する能力もあることからファイル検出だけに頼るのではなく、ロシアのIT企業「Yandex」が提供するクラウド環境との不審な通信を検出することが望まれている。

発見された脆弱性は、2024年8月13日(米国時間)にMicrosoftから修正パッチが公開された。WindowsユーザーにはMicrosoftが公開しているセキュリティ更新プログラムガイドを確認し、必要に応じてアップデートすることが推奨されている。
（後藤大地）