Slevová nabídka pro více licencí
Počítačová bezpečnost North Korean Cyber Group využívá Windows Zero-Day k...

North Korean Cyber Group využívá Windows Zero-Day k šíření malwaru RokRAT

V roce Mura v roce Počítačová bezpečnost
Přeložit do:
Čeština

V nové vlně kybernetických útoků byla severokorejská hackerská skupina ScarCruft spojena se zneužitím zero-day zranitelnosti ve Windows . Tato chyba umožnila útočníkům šířit nebezpečný malware známý jako RokRAT . Přestože byla opravena, zranitelnost označená jako CVE-2024-38178 odhalila systémy používající prohlížeč Edge společnosti Microsoft v režimu Internet Explorer.

Chyba zabezpečení: CVE-2024-38178

Chyba zabezpečení CVE-2024-38178 je problém s poškozením paměti ve skriptovacím stroji v režimu Internet Explorer. Se skóre CVSS 7,5 představovalo vážné bezpečnostní riziko. Pokud byla chyba zneužita, umožnila vzdálené spuštění kódu na kompromitovaných počítačích. To vyžadovalo, aby útočník přiměl uživatele ke kliknutí na škodlivou adresu URL. Po provedení této akce se spustí škodlivý kód a systém zůstane zranitelný.

Microsoft tuto chybu vyřešil ve svých aktualizacích Patch Tuesday ze srpna 2024. Před opravou však ScarCruft úspěšně využil zranitelnosti k šíření malwaru, konkrétně zaměřeného na uživatele v Jižní Koreji. AhnLab Security Intelligence Center (ASEC) a National Cyber Security Center (NCSC) Jižní Koreje objevily a nahlásily chybu. Kampaň nazvali „Operační kód na toastu“.

ScarCruftova útočná strategie

ScarCruft, známý také pod jinými aliasy, jako je APT37, RedEyes a InkySquid, je známý zneužíváním zranitelností v zastaralém nebo nepodporovaném softwaru. Tentokrát jejich strategie zahrnovala reklamní program na přípitky běžně používaný v Jižní Koreji. Tyto „toastové“ reklamy odkazují na vyskakovací oznámení, která se zobrazují v pravém dolním rohu obrazovky.

V tomto případě útočníci kompromitovali server tuzemské reklamní agentury. Do skriptu, který poháněl toastové reklamy, vložili exploit kód, který pak stáhl a vykreslil nastražený obsah. Obsah spustil chybu zabezpečení, konkrétně se zaměřuje na JavaScript Engine Internet Exploreru (jscript9.dll).

Role malwaru RokRAT

Jakmile byla zranitelnost zneužita, ScarCruft nainstaloval na infikované počítače malware RokRAT. RokRAT je všestranný a nebezpečný malware schopný několika akcí:

  • Shromažďování dat z aplikací jako KakaoTalk, WeChat a prohlížečů, jako je Chrome, Edge, Opera a Firefox.
  • Ukončování procesů.
  • Provádění příkazů ze vzdáleného serveru.
  • Interakce se soubory.

    • Jedním z pozoruhodných aspektů RokRAT je jeho používání legitimních cloudových služeb, jako jsou Dropbox, Google Cloud a Yandex Cloud, jako servery pro příkazy a řízení (C2). To umožňuje, aby malware splynul s běžným síťovým provozem, což ztěžuje jeho detekci v podnikových prostředích.

    Předchozí Exploits od ScarCruft

    ScarCruft má za sebou historii zneužívání zranitelností, zejména ve skriptovacím jádru Internet Exploreru. V minulosti byly spojeny s využíváním CVE-2020-1380 a CVE-2022-41128. Tyto chyby zabezpečení, jako je CVE-2024-38178, umožňovaly vzdálené spuštění kódu a byly podobně používány k šíření malwaru.

    Obhajoba a doporučení

    Odborníci na kybernetickou bezpečnost varují, že aktéři severokorejských hrozeb jsou v posledních letech sofistikovanější. Nyní se zaměřují na širší škálu zranitelností, a to nejen v Internet Exploreru, ale napříč různými softwarovými systémy.

    K ochraně před podobnými útoky by organizace a jednotlivci měli:

    • Pravidelně aktualizujte operační systémy a software.
    • Nainstalujte nejnovější bezpečnostní záplaty.
    • Při klikání na adresy URL buďte opatrní, zejména ve vyskakovacích reklamách.

    Udržováním aktualizací systémů a vědomím podezřelých odkazů mohou uživatelé zmírnit rizika, která představují skupiny jako ScarCruft.

    Načítání...