北韩黑客利用Windows脚本引擎零日漏洞进行网络攻击

重点总结

• 北韩国家支持的APT37团队正在利用高危的Windows脚本引擎零日漏洞（CVE-2024-38178）发动攻击。
• 攻击者通过漏洞在一个不受支持的Internet Explorer模块上，部署RokRAT木马进行攻击。
• RokRAT不仅具备文件列举和任意进程终止能力，还开启了远程命令执行和数据外泄等功能。
• 使用者应及时更新系统和软件以防止此类威胁。

近期报导指出，北韩的国家支持攻击组织APT37，也被称为Scarcruft、InkySquid、Ricochet Chollima、Reaper和RubySleet，已经发动针对最近修补的高危Windows脚本引擎零日漏洞的攻击。这次攻击的主要目的是为了释放RokRAT恶意软件。

攻击方式

攻击者利用漏洞，针对一个使用不受支持的InternetExplorer模组的广告程序进行攻击。一旦安装该模组，将会触发类型混淆错误和多种恶意操作，包括部署RokRAT木马。这一发现来自AhnLab安全智能中心和韩国国家网络安全中心的联合分析。

安全建议

报告显示，北韩黑客组织的技术水平日益提高，除了InternetExplorer外，还在利用各种其他漏洞。因此，使用者应及时更新操作系统和软件安全，以保障自身网络安全。保持信息系统的最新状态，是抵御此类威胁的关键步骤。