Севернокорейската кибергрупа използва Windows Zero-Day за разпространение на зловреден софтуер RokRAT
В нова вълна от кибератаки севернокорейската хакерска група ScarCruft е свързана с експлоатацията на уязвимост от нулев ден в Windows . Този пропуск позволи на нападателите да разпространят опасен зловреден софтуер, известен като RokRAT . Въпреки че беше коригирана, уязвимостта, идентифицирана като CVE-2024-38178, изложи системи, използващи браузъра Edge на Microsoft в режим Internet Explorer.
Съдържание
Уязвимостта: CVE-2024-38178
Уязвимостта CVE-2024-38178 е проблем с повреда на паметта в Scripting Engine на режим Internet Explorer. С CVSS резултат от 7,5, това представлява сериозен риск за сигурността. Ако бъде експлоатиран, пропускът позволява отдалечено изпълнение на код на компрометирани машини. Това изисква от атакуващия да подмами потребителя да кликне върху злонамерен URL адрес. След като това действие бъде извършено, злонамереният код ще се изпълни, оставяйки системата уязвима.
Microsoft се справи с недостатъка в своите актуализации за корекции във вторник от август 2024 г. Въпреки това, преди корекцията, ScarCruft успешно използва уязвимостта за разпространение на зловреден софтуер, специално насочен към потребители в Южна Корея. AhnLab Security Intelligence Center (ASEC) и Националният център за киберсигурност (NCSC) на Южна Корея откриха и докладваха за пропуска. Те нарекоха кампанията „Операция Код на препечен хляб“.
Стратегията за атака на ScarCruft
ScarCruft, известен също с други псевдоними като APT37, RedEyes и InkySquid, е известен с това, че използва уязвимости в остарял или неподдържан софтуер. Този път стратегията им включваше рекламна програма за тостове, често използвана в Южна Корея. Тези „тост“ реклами се отнасят до изскачащи известия, които се появяват в долния десен ъгъл на екрана.
В този случай нападателите са компрометирали сървър на местна рекламна агенция. Те инжектираха експлойт код в скрипта, който захранваше тост рекламите, които след това изтегляха и изобразяваха подкопано съдържание. Съдържанието задейства уязвимостта, конкретно насочена към JavaScript двигателя на Internet Explorer (jscript9.dll).
Ролята на зловреден софтуер RokRAT
След като уязвимостта беше използвана, ScarCruft инсталира зловреден софтуер RokRAT на заразени машини. RokRAT е универсален и опасен зловреден софтуер, способен на няколко действия:
Един от забележителните аспекти на RokRAT е използването на легитимни облачни услуги като Dropbox, Google Cloud и Yandex Cloud като сървъри за командване и контрол (C2). Това позволява на злонамерения софтуер да се слее с нормалния мрежов трафик, което затруднява откриването му в корпоративни среди.
Предишни експлойти от ScarCruft
ScarCruft има история на използване на уязвимости, особено в Scripting Engine на Internet Explorer. В миналото те бяха свързани с експлоатацията на CVE-2020-1380 и CVE-2022-41128. Тези уязвимости, като CVE-2024-38178, позволиха отдалечено изпълнение на код и бяха използвани по подобен начин за разпространение на зловреден софтуер.
Защита и препоръки
Експертите по киберсигурност предупреждават, че севернокорейските заплахи са станали по-усъвършенствани през последните години. Сега те са насочени към по-широк набор от уязвимости, не само в Internet Explorer, но и в различни софтуерни системи.
За да се предпазят от подобни атаки, организациите и лицата трябва:
- Редовно актуализирайте операционните системи и софтуера.
- Инсталирайте най-новите корекции за сигурност.
- Бъдете внимателни, когато щраквате върху URL адреси, особено в изскачащи реклами.
Като поддържат системите актуализирани и знаят за подозрителни връзки, потребителите могат да намалят рисковете, породени от групи като ScarCruft.