North Korean Cyber Group udnytter Windows Zero-Day til at sprede RokRAT Malware
I en ny bølge af cyberangreb er den nordkoreanske hackergruppe ScarCruft blevet sat i forbindelse med udnyttelsen af en nul-dages sårbarhed i Windows . Denne fejl tillod angribere at sprede en farlig malware kendt som RokRAT . På trods af at den blev rettet, afslørede sårbarheden, identificeret som CVE-2024-38178, systemer, der brugte Microsofts Edge-browser i Internet Explorer-tilstand.
Indholdsfortegnelse
Sårbarheden: CVE-2024-38178
CVE-2024-38178-sårbarheden er et problem med hukommelseskorruption i Scripting Engine i Internet Explorer-tilstand. Med en CVSS-score på 7,5 udgjorde det en alvorlig sikkerhedsrisiko. Hvis den blev udnyttet, aktiverede fejlen fjernudførelse af kode på kompromitterede maskiner. Dette krævede, at angriberen narre brugeren til at klikke på en ondsindet URL. Når denne handling blev udført, vil ondsindet kode køre, hvilket efterlader systemet sårbart.
Microsoft rettede fejlen i sine opdateringer fra august 2024 Patch Tuesday. Men før patchen udnyttede ScarCruft med succes sårbarheden til at sprede malware, specifikt målrettet mod brugere i Sydkorea. AhnLab Security Intelligence Center (ASEC) og National Cyber Security Center (NCSC) i Sydkorea opdagede og rapporterede fejlen. De døbte kampagnen "Operation Code on Toast."
ScarCrufts angrebsstrategi
ScarCruft, også kendt under andre aliaser som APT37, RedEyes og InkySquid, er berygtet for at udnytte sårbarheder i forældet eller ikke-understøttet software. Denne gang involverede deres strategi et toast-reklameprogram, der almindeligvis bruges i Sydkorea. Disse "toast"-annoncer henviser til pop-up-meddelelser, der vises i nederste højre hjørne af skærmen.
I dette tilfælde kompromitterede angriberne et indenlandsk reklamebureaus server. De injicerede udnyttelseskode i scriptet, der drev toast-reklamerne, som derefter downloadede og renderede booby-fanget indhold. Indholdet udløste sårbarheden og var specifikt målrettet mod Internet Explorers JavaScript Engine (jscript9.dll).
RokRAT Malwares rolle
Da sårbarheden blev udnyttet, installerede ScarCruft RokRAT malware på inficerede maskiner. RokRAT er en alsidig og farlig malware, der kan udføre flere handlinger:
Et af de bemærkelsesværdige aspekter af RokRAT er dets brug af legitime cloud-tjenester som Dropbox, Google Cloud og Yandex Cloud som kommando-og-kontrol-servere (C2). Dette gør det muligt for malware at blande sig med normal netværkstrafik, hvilket gør det vanskeligt at opdage i virksomhedsmiljøer.
Tidligere udnyttelser af ScarCruft
ScarCruft har en historie med at udnytte sårbarheder, især i Scripting Engine i Internet Explorer. Tidligere var de forbundet med udnyttelsen af CVE-2020-1380 og CVE-2022-41128. Disse sårbarheder, som CVE-2024-38178, tillod fjernudførelse af kode og blev på samme måde brugt til at sprede malware.
Forsvar og anbefalinger
Cybersikkerhedseksperter advarer om, at nordkoreanske trusselsaktører er blevet mere sofistikerede i de senere år. De retter sig nu mod en bredere række af sårbarheder, ikke kun i Internet Explorer, men på tværs af forskellige softwaresystemer.
For at beskytte mod lignende angreb bør organisationer og enkeltpersoner:
- Opdater regelmæssigt operativsystemer og software.
- Installer de seneste sikkerhedsrettelser.
- Vær forsigtig, når du klikker på webadresser, især i pop op-annoncer.
Ved at holde systemerne opdaterede og være opmærksomme på mistænkelige links, kan brugerne mindske de risici, grupper som ScarCruft udgør.