【安全资讯】“吐司代码行动”：深入分析TA-RedAnt对零日漏洞的利用（CVE-2024-38178）

概要：

近期，北韩黑客组织TA-RedAnt实施了一场名为“吐司代码行动”的复杂网络攻击，利用了一个新的Internet Explorer（IE）漏洞，针对无辜用户展开攻击。韩国国家网络安全中心（NCSC）与AhnLab的联合报告揭示了这一攻击的机制及后续的恶意软件部署，强调了网络安全的重要性。

主要内容：

TA-RedAnt，亦称APT37，以其先进的网络操作而闻名，此次攻击于2024年5月被发现，涉及广泛使用的免费软件。攻击者通过一个嵌入在免费软件中的弹出广告程序，利用了IE的一个新漏洞（CVE-2024-38178），成功执行远程命令。报告指出，黑客通过入侵一家国内广告公司的服务器，将恶意iframe注入到弹出广告程序的HTML代码中。

此次攻击并非TA-RedAnt首次利用IE漏洞，过去的攻击包括对媒体机构的水坑攻击和恶意Word文档的传播。攻击分为多个阶段，最终部署了RokRAT恶意工具。第一阶段恶意软件被注入到explorer.exe中，旨在规避分析；第二阶段则收集系统信息并传送至中转服务器。

AhnLab的分析显示，恶意软件默认使用Yandex Cloud进行命令与控制，并能够与其他云服务进行通信。微软于2024年8月13日发布了针对CVE-2024-38178的补丁，报告强调，早期检测和安全公司之间的合作成功防止了进一步的损害。此事件突显了遗留软件的风险，开发者应避免使用存在安全风险的模块，用户则需保持对系统和软件的定期更新。