Table of Contents
Ameaças Cibernéticas: O Caso APT37 e a Exploração de Vulnerabilidades do Internet Explorer
A recente descoberta de um ataque cibernético relacionado ao grupo de ameaças persistentes avançadas (APT) conhecido como APT37, apoiado pela Coreia do Norte, trouxe à tona a preocupação com o uso de vulnerabilidades em softwares legados. Em particular, esse grupo explorou uma vulnerabilidade de zero-day no navegador Internet Explorer (IE) da Microsoft, utilizando-a para realizar uma campanha de cadeia de suprimentos de zero-clique em alvos sul-coreanos, conforme revelado por pesquisadores.
A Exploração da Vulnerabilidade CVE-2024-38178
A vulnerabilidade em questão, identificada como CVE-2024-38178 (classificação CVSS 7.5), permitiu que o APT37 comprometesse um programa de anúncios chamado Toast, frequentemente instalado juntamente com softwares gratuitos. Esse programa baixa conteúdo publicitário para os desktops dos usuários, mas, nesse caso, começou a entregar malware em vez de anúncios.
“Esse ataque é considerado uma das formas mais sofisticadas de exploração, pois provoca uma invasão no sistema sem qualquer interação do usuário, resultando em um ataque de zero-clique,” afirmam os pesquisadores da AhnLab.
Mecanismos de Ataque e Implicações
O mecanismo utilizado pelo grupo APT37, que se reporta também pelos nomes RedAnt, RedEyes, ScarCruft e Group123, destaca como a utilização de uma função denominada WebView na renderização de conteúdo web pode ser uma porta de entrada para vulnerabilidades. Essa função, que deve operar com um navegador, pode ser utilizada de formas que expõem aplicativos a riscos, especialmente se esses aplicativos estiverem baseados em IE.
- Criação de conteúdo malicioso a partir do código do Toast;
- Injeção de malware sob a forma de RokRAT, que é um software de controle remoto;
- Execução de comandos maliciosos que permitem controle remoto do sistema;
- Persistência de atividades maliciosas com o uso de Ruby e servidores em nuvem comerciais.
Apesar da detecção inicial do ataque, que poderia ter causado danos significativos, as medidas de segurança permitiram uma resposta rápida e a mitigação adicional de outros programas de anúncios que apresentavam vulnerabilidades similares antes da liberação do patch de correção da Microsoft.
A Perpetuação da Ameaça do Internet Explorer
Embora a Microsoft tenha corrigido a vulnerabilidade em sua atualização de agosto, a presença contínua do IE em muitos aplicativos como um componente incorporado ou módulo relacionado representa uma preocupação persistente em relação à segurança cibernética. Isso fornece um incentivo para hackers que buscam explorar vulnerabilidades do IE, mesmo após seu descontinuamento oficial em 2022.
“Tais ataques são difíceis de defender, pois podem ocorrer sem que os usuários tomem conhecimento, impactando substancialmente as operações dependendo do software explorado,” explicaram os pesquisadores da AhnLab.
Recomendações de Segurança
Os especialistas recomendam uma série de ações a serem tomadas por usuários e desenvolvedores para mitigar riscos cibernéticos:
- Manter sistemas operacionais e softwares sempre atualizados;
- Evitar o uso de bibliotecas e módulos de desenvolvimento que contenham vulnerabilidades conhecidas;
- Implementar ferramentas de segurança eficazes para monitorar atividades suspeitas.
Concluindo, o caso APT37 ilustra não apenas a sofisticação das ameaças cibernéticas contemporâneas, mas também a necessidade vital de vigilância constante e práticas rigorosas de segurança no desenvolvimento de software.
Tradução fornecida pelo Google Translate.
#APT37 #Cibersegurança #Vulnerabilidades #InternetExplorer #ZeroDay #Malware #SegurançaDigital