قیمت چند مجوز تخفیف
امنیت کامپیوتر گروه سایبری کره شمالی از Windows Zero-Day برای انتشار...

گروه سایبری کره شمالی از Windows Zero-Day برای انتشار بدافزار RokRAT سوء استفاده می کند

تا Mura در امنیت کامپیوتر
ترجمه به:
فارسی

در موج جدیدی از حملات سایبری، گروه هکر کره شمالی ScarCruft با سوء استفاده از یک آسیب‌پذیری روز صفر در ویندوز مرتبط شده است. این نقص به مهاجمان اجازه داد تا بدافزار خطرناکی به نام RokRAT را منتشر کنند. این آسیب‌پذیری که به‌عنوان CVE-2024-38178 شناسایی شده بود، علی‌رغم اصلاح‌شده، سیستم‌هایی را که از مرورگر اج مایکروسافت در حالت اینترنت اکسپلورر استفاده می‌کردند، افشا کرد.

آسیب پذیری: CVE-2024-38178

آسیب‌پذیری CVE-2024-38178 یک مشکل خرابی حافظه در موتور اسکریپت در حالت اینترنت اکسپلورر است. با امتیاز CVSS 7.5، خطر امنیتی شدیدی را به همراه داشت. در صورت سوء استفاده، این نقص اجرای کد از راه دور را در ماشین های در معرض خطر فعال می کند. این امر مستلزم این بود که مهاجم کاربر را فریب دهد تا روی یک URL مخرب کلیک کند. پس از انجام این عمل، کد مخرب اجرا می شود و سیستم را آسیب پذیر می کند.

مایکروسافت این نقص را در به‌روزرسانی‌های پچ سه‌شنبه آگوست ۲۰۲۴ برطرف کرد. با این حال، قبل از این وصله، ScarCruft با موفقیت از این آسیب‌پذیری برای گسترش بدافزار استفاده کرد، به‌ویژه کاربران در کره جنوبی را هدف قرار داد. مرکز اطلاعات امنیتی AhnLab (ASEC) و مرکز امنیت سایبری ملی (NCSC) کره جنوبی این نقص را کشف و گزارش کردند. آنها این کمپین را "کد عملیات روی نان تست" نامگذاری کردند.

استراتژی حمله ScarCruft

ScarCruft که با نام‌های مستعار دیگری مانند APT37، RedEyes و InkySquid نیز شناخته می‌شود، به دلیل بهره‌برداری از آسیب‌پذیری‌ها در نرم‌افزارهای قدیمی یا پشتیبانی‌نشده بدنام است. این بار، استراتژی آنها شامل یک برنامه تبلیغاتی نان تست بود که معمولاً در کره جنوبی استفاده می شود. این تبلیغات "نان تست" به اعلان های پاپ آپی اشاره دارد که در گوشه سمت راست پایین صفحه نمایش ظاهر می شود.

در این مورد، مهاجمان سرور یک آژانس تبلیغاتی داخلی را به خطر انداختند. آن‌ها کد اکسپلویت را به اسکریپتی تزریق کردند که به تبلیغات نان تست کمک می‌کرد و سپس محتوای به دام افتاده را دانلود و رندر می‌کرد. محتوا باعث ایجاد این آسیب‌پذیری شد، به‌ویژه موتور جاوا اسکریپت اینترنت اکسپلورر (jscript9.dll) را هدف قرار داد.

نقش بدافزار RokRAT

هنگامی که این آسیب‌پذیری مورد سوء استفاده قرار گرفت، ScarCruft بدافزار RokRAT را روی ماشین‌های آلوده نصب کرد. RokRAT یک بدافزار همه کاره و خطرناک است که قادر به انجام چندین عمل است:

  • جمع آوری داده ها از برنامه هایی مانند KakaoTalk، WeChat و مرورگرهایی مانند Chrome، Edge، Opera و Firefox.
  • خاتمه فرآیندها
  • اجرای دستورات از سرور راه دور
  • تعامل با فایل ها

    • یکی از جنبه های قابل توجه RokRAT استفاده از سرویس های ابری قانونی مانند Dropbox، Google Cloud و Yandex Cloud به عنوان سرورهای فرمان و کنترل (C2) است. این به بدافزار اجازه می دهد تا با ترافیک عادی شبکه ترکیب شود و شناسایی آن در محیط های سازمانی را دشوار می کند.

    سوء استفاده های قبلی توسط ScarCruft

    ScarCruft سابقه سوء استفاده از آسیب پذیری ها، به ویژه در موتور اسکریپت اینترنت اکسپلورر را دارد. در گذشته، آنها با بهره برداری از CVE-2020-1380 و CVE-2022-41128 مرتبط بودند. این آسیب‌پذیری‌ها، مانند CVE-2024-38178، امکان اجرای کد از راه دور را فراهم می‌کردند و به طور مشابه برای انتشار بدافزار استفاده می‌شدند.

    دفاع و توصیه ها

    کارشناسان امنیت سایبری هشدار می دهند که عوامل تهدید کننده کره شمالی در سال های اخیر پیچیده تر شده اند. آنها اکنون طیف وسیع تری از آسیب پذیری ها را نه تنها در اینترنت اکسپلورر بلکه در سیستم های نرم افزاری مختلف مورد هدف قرار داده اند.

    برای محافظت در برابر حملات مشابه، سازمان ها و افراد باید:

    • سیستم عامل ها و نرم افزارها را به طور منظم به روز کنید.
    • آخرین وصله های امنیتی را نصب کنید.
    • هنگام کلیک بر روی URL ها، به خصوص در تبلیغات پاپ آپ، احتیاط کنید.

    با به روز نگه داشتن سیستم ها و آگاهی از لینک های مشکوک، کاربران می توانند خطرات ناشی از گروه هایی مانند ScarCruft را کاهش دهند.

    بارگذاری...