Η Βόρεια Κορέα Cyber Group εκμεταλλεύεται το Windows Zero-Day για να διαδώσει κακόβουλο λογισμικό RokRAT
Σε ένα νέο κύμα κυβερνοεπιθέσεων, η βορειοκορεατική ομάδα χάκερ ScarCruft έχει συνδεθεί με την εκμετάλλευση μιας ευπάθειας zero-day στα Windows . Αυτό το ελάττωμα επέτρεψε στους εισβολείς να διαδώσουν ένα επικίνδυνο κακόβουλο λογισμικό γνωστό ως RokRAT . Παρά το γεγονός ότι επιδιορθώθηκε, η ευπάθεια, που προσδιορίστηκε ως CVE-2024-38178, εξέθεσε συστήματα που χρησιμοποιούν το πρόγραμμα περιήγησης Edge της Microsoft σε λειτουργία Internet Explorer.
Πίνακας περιεχομένων
Η ευπάθεια: CVE-2024-38178
Η ευπάθεια CVE-2024-38178 είναι ένα ζήτημα καταστροφής της μνήμης στη Μηχανή δέσμης ενεργειών της λειτουργίας Internet Explorer. Με βαθμολογία CVSS 7,5, αποτελούσε σοβαρό κίνδυνο ασφάλειας. Εάν γίνει εκμετάλλευση, το ελάττωμα επέτρεψε την απομακρυσμένη εκτέλεση κώδικα σε παραβιασμένα μηχανήματα. Αυτό απαιτούσε από τον εισβολέα να ξεγελάσει τον χρήστη ώστε να κάνει κλικ σε μια κακόβουλη διεύθυνση URL. Μόλις εκτελεστεί αυτή η ενέργεια, θα εκτελούνταν κακόβουλος κώδικας, αφήνοντας το σύστημα ευάλωτο.
Η Microsoft αντιμετώπισε το ελάττωμα στις ενημερώσεις της Patch Τρίτης Αυγούστου 2024. Ωστόσο, πριν από την ενημέρωση κώδικα, η ScarCruft αξιοποίησε με επιτυχία την ευπάθεια για τη διάδοση κακόβουλου λογισμικού, στοχεύοντας συγκεκριμένα χρήστες στη Νότια Κορέα. Το AhnLab Security Intelligence Center (ASEC) και το National Cyber Security Center (NCSC) της Νότιας Κορέας ανακάλυψαν και ανέφεραν το ελάττωμα. Ονόμασαν την εκστρατεία "Κώδικας λειτουργίας στο τοστ".
Στρατηγική επίθεσης ScarCruft
Το ScarCruft, γνωστό και με άλλα ψευδώνυμα όπως το APT37, το RedEyes και το InkySquid, είναι διαβόητο για την εκμετάλλευση ευπαθειών σε απαρχαιωμένο ή μη υποστηριζόμενο λογισμικό. Αυτή τη φορά, η στρατηγική τους περιλάμβανε ένα διαφημιστικό πρόγραμμα τοστ που χρησιμοποιείται συνήθως στη Νότια Κορέα. Αυτές οι διαφημίσεις "τοστ" αναφέρονται σε αναδυόμενες ειδοποιήσεις που εμφανίζονται στην κάτω δεξιά γωνία της οθόνης.
Σε αυτήν την περίπτωση, οι επιτιθέμενοι παραβίασαν τον διακομιστή μιας εγχώριας διαφημιστικής εταιρείας. Έβαλαν κώδικα εκμετάλλευσης στο σενάριο που τροφοδοτούσε τις διαφημίσεις τοστ, το οποίο στη συνέχεια κατέβαζε και απέδιδε περιεχόμενο παγιδευμένο. Το περιεχόμενο ενεργοποίησε την ευπάθεια, στοχεύοντας συγκεκριμένα τη Μηχανή JavaScript του Internet Explorer (jscript9.dll).
Ο ρόλος του κακόβουλου λογισμικού RokRAT
Μόλις έγινε εκμετάλλευση της ευπάθειας, η ScarCruft εγκατέστησε κακόβουλο λογισμικό RokRAT σε μολυσμένα μηχανήματα. Το RokRAT είναι ένα ευέλικτο και επικίνδυνο κακόβουλο λογισμικό ικανό για διάφορες ενέργειες:
Μία από τις αξιοσημείωτες πτυχές του RokRAT είναι η χρήση νόμιμων υπηρεσιών cloud όπως το Dropbox, το Google Cloud και το Yandex Cloud ως διακομιστές εντολών και ελέγχου (C2). Αυτό επιτρέπει στο κακόβουλο λογισμικό να συνδυάζεται με την κανονική κίνηση δικτύου, καθιστώντας δύσκολη την ανίχνευση σε εταιρικά περιβάλλοντα.
Προηγούμενα Exploits από την ScarCruft
Το ScarCruft έχει ιστορικό εκμετάλλευσης τρωτών σημείων, ειδικά στο Scripting Engine του Internet Explorer. Στο παρελθόν, συνδέονταν με την εκμετάλλευση των CVE-2020-1380 και CVE-2022-41128. Αυτά τα τρωτά σημεία, όπως το CVE-2024-38178, επέτρεψαν την απομακρυσμένη εκτέλεση κώδικα και χρησιμοποιήθηκαν παρομοίως για τη διάδοση κακόβουλου λογισμικού.
Άμυνα και συστάσεις
Οι ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν ότι οι βορειοκορεάτες απειλές έχουν γίνει πιο εξελιγμένοι τα τελευταία χρόνια. Στοχεύουν πλέον σε ένα ευρύτερο φάσμα ευπαθειών, όχι μόνο στον Internet Explorer αλλά σε διάφορα συστήματα λογισμικού.
Για την προστασία από παρόμοιες επιθέσεις, οι οργανισμοί και τα άτομα θα πρέπει:
- Ενημερώνετε τακτικά τα λειτουργικά συστήματα και το λογισμικό.
- Εγκαταστήστε τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας.
- Να είστε προσεκτικοί όταν κάνετε κλικ σε διευθύνσεις URL, ειδικά σε αναδυόμενες διαφημίσεις.
Διατηρώντας τα συστήματα ενημερωμένα και έχοντας επίγνωση των ύποπτων συνδέσμων, οι χρήστες μπορούν να μετριάσουν τους κινδύνους που ενέχουν ομάδες όπως το ScarCruft.