El grup cibernètic de Corea del Nord explota Windows Zero-Day per propagar programari maliciós RokRAT
En una nova onada de ciberatacs, el grup de pirateria nord-coreà ScarCruft s'ha relacionat amb l'explotació d'una vulnerabilitat de dia zero a Windows . Aquest defecte va permetre als atacants difondre un perillós programari maliciós conegut com RokRAT . Tot i estar pegat, la vulnerabilitat, identificada com CVE-2024-38178, va exposar sistemes que utilitzaven el navegador Edge de Microsoft en mode Internet Explorer.
Taula de continguts
La vulnerabilitat: CVE-2024-38178
La vulnerabilitat CVE-2024-38178 és un problema de corrupció de memòria al motor de scripting del mode Internet Explorer. Amb una puntuació CVSS de 7,5, suposava un greu risc de seguretat. Si s'aprofitava, el defecte va permetre l'execució remota de codi en màquines compromeses. Això requeria que l'atacant enganyés l'usuari perquè fes clic en un URL maliciós. Un cop realitzada aquesta acció, s'executaria codi maliciós, deixant el sistema vulnerable.
Microsoft va solucionar el defecte a les seves actualitzacions del dimarts del pegat d'agost de 2024. Tanmateix, abans del pedaç, ScarCruft va aprofitar amb èxit la vulnerabilitat per difondre programari maliciós, dirigint-se específicament als usuaris de Corea del Sud. L'AhnLab Security Intelligence Center (ASEC) i el National Cyber Security Center (NCSC) de Corea del Sud van descobrir i informar de la fallada. Van batejar la campanya "Codi d'operació en brindis".
Estratègia d'atac de ScarCruft
ScarCruft, també conegut per altres àlies com APT37, RedEyes i InkySquid, és conegut per explotar vulnerabilitats en programari obsolet o no compatible. Aquesta vegada, la seva estratègia va implicar un programa de publicitat de brindis que s'utilitza habitualment a Corea del Sud. Aquests anuncis "brindis" fan referència a notificacions emergents que apareixen a l'extrem inferior dret de la pantalla.
En aquest cas, els atacants van comprometre el servidor d'una agència de publicitat nacional. Van injectar codi d'explotació a l'script que impulsava els anuncis de brindis, que després baixaven i representaven contingut amb trampes explosives. El contingut va activar la vulnerabilitat, específicament dirigit al motor JavaScript d'Internet Explorer (jscript9.dll).
El paper del programari maliciós RokRAT
Un cop explotada la vulnerabilitat, ScarCruft va instal·lar programari maliciós RokRAT a les màquines infectades. RokRAT és un programari maliciós versàtil i perillós capaç de realitzar diverses accions:
Un dels aspectes notables de RokRAT és el seu ús de serveis de núvol legítims com Dropbox, Google Cloud i Yandex Cloud com a servidors de comandament i control (C2). Això permet que el programari maliciós es fusioni amb el trànsit normal de la xarxa, cosa que dificulta la seva detecció en entorns empresarials.
Exploitacions anteriors de ScarCruft
ScarCruft té un historial d'explotació de vulnerabilitats, especialment al motor de scripting d'Internet Explorer. En el passat estaven vinculats a l'explotació de CVE-2020-1380 i CVE-2022-41128. Aquestes vulnerabilitats, com CVE-2024-38178, permetien l'execució de codi remota i es van utilitzar de manera similar per difondre programari maliciós.
Defensa i recomanacions
Els experts en ciberseguretat adverteixen que els actors de les amenaces de Corea del Nord s'han tornat més sofisticats en els últims anys. Ara s'orienten a una gamma més àmplia de vulnerabilitats, no només a Internet Explorer, sinó a diversos sistemes de programari.
Per protegir-se d'atacs similars, les organitzacions i els individus haurien de:
- Actualitzar regularment els sistemes operatius i el programari.
- Instal·leu els darrers pedaços de seguretat.
- Aneu amb compte quan feu clic als URL, especialment als anuncis emergents.
En mantenir els sistemes actualitzats i estar al corrent dels enllaços sospitosos, els usuaris poden mitigar els riscos que suposen grups com ScarCruft.