Põhja-Korea kübergrupp kasutab RokRAT-i pahavara levitamiseks ära Windowsi nullpäeva
Uue küberrünnakute laine puhul on Põhja-Korea häkkimisrühmitust ScarCruft seostatud Windowsi nullpäeva haavatavuse ärakasutamisega. See viga võimaldas ründajatel levitada ohtlikku pahavara, mida tuntakse nimega RokRAT . Hoolimata paikamisest, paljastas haavatavus, mille nimi on CVE-2024-38178, süsteemid, mis kasutasid Microsofti brauserit Edge Internet Exploreri režiimis.
Sisukord
Haavatavus: CVE-2024-38178
Haavatavus CVE-2024-38178 on mälukahjustuse probleem Internet Exploreri režiimi skriptimismootoris. CVSS-i skooriga 7,5 kujutas see endast tõsist turvariski. Kui seda viga kasutati, võimaldas see vigastatud masinates koodi kaugkäivitamist. Selleks pidi ründaja petma kasutajat klõpsama pahatahtlikul URL-il. Kui see toiming on tehtud, käivitub pahatahtlik kood, mis jätab süsteemi haavatavaks.
Microsoft lahendas vea oma 2024. aasta augusti paiga teisipäeva värskendustes. Kuid enne plaastrit kasutas ScarCruft edukalt haavatavust pahavara levitamiseks, mis oli suunatud eelkõige Lõuna-Korea kasutajatele. AhnLabi turvaluurekeskus (ASEC) ja Lõuna-Korea riiklik küberjulgeolekukeskus (NCSC) avastasid vea ja teatasid sellest. Nad nimetasid kampaaniat "Toast operatsioonikoodeks".
ScarCrufti rünnakustrateegia
ScarCruft, mida tuntakse ka teiste varjunimedega, nagu APT37, RedEyes ja InkySquid, on kurikuulus vananenud või toetamata tarkvara haavatavuste ärakasutamise poolest. Seekord hõlmas nende strateegia Lõuna-Koreas levinud röstsaia reklaamiprogrammi. Need "röstsaia" reklaamid viitavad hüpikteadetele, mis kuvatakse ekraani paremas alanurgas.
Antud juhul kompromiteerisid ründajad kodumaise reklaamiagentuuri serverit. Nad sisestasid ärakasutamiskoodi skripti, mis käivitas röstsaiareklaamid, mis seejärel laadisid alla ja renderdasid lõksu jäänud sisu. Sisu käivitas haavatavuse, sihtides eelkõige Internet Exploreri JavaScripti mootorit (jscript9.dll).
RokRAT-i pahavara roll
Kui haavatavus oli ära kasutatud, installis ScarCruft nakatunud masinatesse RokRAT pahavara. RokRAT on mitmekülgne ja ohtlik pahavara, mis on võimeline tegema mitmeid toiminguid:
Üks RokRATi märkimisväärseid aspekte on seaduslike pilveteenuste, nagu Dropbox, Google Cloud ja Yandex Cloud, kasutamine käsu- ja juhtimisserveritena (C2). See võimaldab pahavaral tavalise võrguliiklusega sulanduda, muutes selle tuvastamise ettevõtte keskkondades keeruliseks.
ScarCrufti eelmised vägiteod
ScarCruft on varem turvaauke ära kasutanud, eriti Internet Exploreri skriptimismootoris. Varem olid need seotud CVE-2020-1380 ja CVE-2022-41128 kasutamisega. Need haavatavused, nagu CVE-2024-38178, võimaldasid koodi kaugkäivitamist ja neid kasutati sarnaselt pahavara levitamiseks.
Kaitse ja soovitused
Küberjulgeolekueksperdid hoiatavad, et Põhja-Korea ohus osalejad on viimastel aastatel muutunud keerukamaks. Nüüd sihivad nad laiemat valikut turvaauke, mitte ainult Internet Exploreris, vaid ka erinevates tarkvarasüsteemides.
Sarnaste rünnakute eest kaitsmiseks peaksid organisatsioonid ja üksikisikud:
- Värskendage regulaarselt operatsioonisüsteeme ja tarkvara.
- Installige uusimad turvapaigad.
- Olge URL-idel klõpsamisel ettevaatlik, eriti hüpikreklaamides.
Süsteeme ajakohastades ja kahtlastest linkidest teadlikuna saavad kasutajad maandada riske, mida põhjustavad sellised grupid nagu ScarCruft.