مجموعة سيبرانية كورية شمالية تستغل ثغرة أمنية خطيرة في نظام التشغيل Windows لنشر البرامج الضارة RokRAT

في موجة جديدة من الهجمات الإلكترونية، تم ربط مجموعة القرصنة الكورية الشمالية ScarCruft باستغلال ثغرة أمنية في نظام التشغيل Windows . سمحت هذه الثغرة للمهاجمين بنشر برنامج ضار خطير يُعرف باسم RokRAT . وعلى الرغم من إصلاحها، فإن الثغرة الأمنية، التي تم تحديدها باسم CVE-2024-38178، عرضت الأنظمة التي تستخدم متصفح Microsoft Edge في وضع Internet Explorer.

الثغرة الأمنية: CVE-2024-38178

الثغرة الأمنية CVE-2024-38178 هي مشكلة تلف الذاكرة في محرك النصوص في وضع Internet Explorer. مع درجة CVSS 7.5، فإنها تشكل خطرًا أمنيًا شديدًا. إذا تم استغلالها، فإن الخلل يمكّن تنفيذ التعليمات البرمجية عن بُعد على الأجهزة المخترقة. يتطلب هذا من المهاجم خداع المستخدم للنقر فوق عنوان URL ضار. بمجرد تنفيذ هذا الإجراء، يتم تنفيذ التعليمات البرمجية الضارة، مما يجعل النظام عرضة للخطر.

عالجت شركة مايكروسوفت الثغرة في تحديثات الثلاثاء الخاصة بشهر أغسطس 2024. ومع ذلك، قبل التصحيح، استغل ScarCruft الثغرة بنجاح لنشر البرامج الضارة، مستهدفًا بشكل خاص المستخدمين في كوريا الجنوبية. اكتشف مركز AhnLab Security Intelligence Center (ASEC) والمركز الوطني للأمن السيبراني (NCSC) في كوريا الجنوبية الثغرة وأبلغوا عنها. أطلقوا على الحملة اسم "Operation Code on Toast".

استراتيجية الهجوم في ScarCruft

تشتهر ScarCruft، المعروفة أيضًا بأسماء مستعارة أخرى مثل APT37 وRedEyes وInkySquid، باستغلال الثغرات الأمنية في البرامج القديمة أو غير المدعومة. هذه المرة، تضمنت استراتيجيتها برنامجًا للإعلانات المنبثقة يستخدم بشكل شائع في كوريا الجنوبية. تشير هذه الإعلانات المنبثقة إلى إشعارات منبثقة تظهر في الزاوية اليمنى السفلية من الشاشة.

في هذه الحالة، قام المهاجمون باختراق خادم وكالة إعلانات محلية. حيث قاموا بحقن كود استغلال في البرنامج النصي الذي يعمل على تشغيل إعلانات الخبز المحمص، والذي قام بعد ذلك بتنزيل وعرض محتوى مفخخ. وقد تسبب المحتوى في حدوث الثغرة، والتي استهدفت بشكل خاص محرك JavaScript الخاص بمتصفح Internet Explorer (jscript9.dll).

دور البرامج الضارة RokRAT

بمجرد استغلال الثغرة الأمنية، قامت ScarCruft بتثبيت برنامج RokRAT الخبيث على الأجهزة المصابة. RokRAT هو برنامج خبيث متعدد الاستخدامات وخطير قادر على القيام بعدة إجراءات:

من بين الجوانب البارزة لـ RokRAT استخدامه لخدمات سحابية شرعية مثل Dropbox وGoogle Cloud وYandex Cloud كخوادم للتحكم والقيادة (C2). وهذا يسمح للبرامج الضارة بالاختلاط بحركة مرور الشبكة العادية، مما يجعل من الصعب اكتشافها في بيئات المؤسسات.

الاستغلالات السابقة لـ ScarCruft

لدى ScarCruft تاريخ في استغلال الثغرات الأمنية، وخاصة في محرك النصوص البرمجية في متصفح Internet Explorer. في الماضي، ارتبطت هذه الثغرات الأمنية باستغلال CVE-2020-1380 وCVE-2022-41128. سمحت هذه الثغرات الأمنية، مثل CVE-2024-38178، بتنفيذ التعليمات البرمجية عن بُعد وتم استخدامها بشكل مماثل لنشر البرامج الضارة.

الدفاع والتوصيات

ويحذر خبراء الأمن السيبراني من أن الجهات الفاعلة في كوريا الشمالية أصبحت أكثر تطوراً في السنوات الأخيرة. وهي تستهدف الآن مجموعة أوسع من الثغرات الأمنية، ليس فقط في متصفح إنترنت إكسبلورر ولكن عبر أنظمة برمجية مختلفة.

للحماية من الهجمات المماثلة، يجب على المنظمات والأفراد القيام بما يلي:

• تحديث أنظمة التشغيل والبرامج بانتظام.
• قم بتثبيت أحدث تصحيحات الأمان.
• كن حذرًا عند النقر على عناوين URL، وخاصةً في الإعلانات المنبثقة.

من خلال تحديث الأنظمة والوعي بالروابط المشبوهة، يمكن للمستخدمين التخفيف من المخاطر التي تشكلها مجموعات مثل ScarCruft.