North Korean Cyber Group hyödyntää Windows Zero-Dayta RokRAT-haittaohjelmien levittämiseen
Uudessa kyberhyökkäysten aallossa pohjoiskorealainen hakkerointiryhmä ScarCruft on yhdistetty Windowsin nollapäivän haavoittuvuuden hyödyntämiseen. Tämä virhe antoi hyökkääjät levittää vaarallista haittaohjelmaa nimeltä RokRAT . Huolimatta korjauksesta, haavoittuvuus, joka tunnetaan nimellä CVE-2024-38178, paljasti järjestelmät käyttämällä Microsoftin Edge-selainta Internet Explorer -tilassa.
Sisällysluettelo
Haavoittuvuus: CVE-2024-38178
CVE-2024-38178-haavoittuvuus on muistin vioittumisongelma Internet Explorer -tilan komentosarjamoottorissa. CVSS-pistemäärällä 7,5 se aiheutti vakavan turvallisuusriskin. Jos virhettä hyödynnettiin, se mahdollisti koodin etäsuorittamisen vaarantuneissa koneissa. Tämä vaati hyökkääjän huijaamaan käyttäjää napsauttamaan haitallista URL-osoitetta. Kun tämä toiminto on suoritettu, haitallinen koodi suoritetaan, mikä jättää järjestelmän haavoittuvaiseksi.
Microsoft korjasi virheen elokuun 2024 korjaustiistaipäivityksissään. Kuitenkin ennen korjausta ScarCruft hyödynsi onnistuneesti haavoittuvuutta haittaohjelmien levittämiseksi, erityisesti Etelä-Korean käyttäjille. Etelä-Korean AhnLab Security Intelligence Center (ASEC) ja National Cyber Security Center (NCSC) löysivät vian ja ilmoittivat siitä. He antoivat kampanjalle nimen "Toast-toimintakoodi".
ScarCruftin hyökkäysstrategia
ScarCruft, joka tunnetaan myös muilla aliaksilla, kuten APT37, RedEyes ja InkySquid, on tunnettu vanhentuneiden tai tuemattomien ohjelmistojen haavoittuvuuksien hyödyntämisestä. Tällä kertaa heidän strategiansa sisälsi Etelä-Koreassa yleisesti käytetyn maljan mainosohjelman. Nämä "paahtoleipä"-mainokset viittaavat ponnahdusilmoituksiin, jotka näkyvät näytön oikeassa alakulmassa.
Tässä tapauksessa hyökkääjät vaaransivat kotimaisen mainostoimiston palvelimen. He lisäsivät hyväksikäyttökoodia skriptiin, joka käynnisti paahtoleipämainokset, jotka sitten ladasivat ja muodostivat loukkuun jääneen sisällön. Sisältö laukaisi haavoittuvuuden ja kohdistui erityisesti Internet Explorerin JavaScript-moottoriin (jscript9.dll).
RokRAT-haittaohjelman rooli
Kun haavoittuvuutta hyödynnettiin, ScarCruft asensi RokRAT-haittaohjelman tartunnan saaneisiin koneisiin. RokRAT on monipuolinen ja vaarallinen haittaohjelma, joka pystyy useisiin toimiin:
Yksi RokRATin merkittävistä puolista on laillisten pilvipalvelujen, kuten Dropbox, Google Cloud ja Yandex Cloud, käyttö komento- ja ohjauspalvelimina (C2). Tämän ansiosta haittaohjelmat sulautuvat normaaliin verkkoliikenteeseen, mikä vaikeuttaa sen havaitsemista yritysympäristöissä.
ScarCruftin aiemmat käytökset
ScarCruft on hyödyntänyt haavoittuvuuksia, erityisesti Internet Explorerin komentosarjamoottorissa. Aiemmin ne yhdistettiin tiedostojen CVE-2020-1380 ja CVE-2022-41128 hyödyntämiseen. Nämä haavoittuvuudet, kuten CVE-2024-38178, mahdollistivat koodin etäsuorittamisen ja niitä käytettiin samalla tavalla haittaohjelmien levittämiseen.
Puolustus ja suositukset
Kyberturvallisuusasiantuntijat varoittavat, että Pohjois-Korean uhkatoimijat ovat kehittyneet viime vuosina entistä kehittyneemmiksi. Ne kohdistuvat nyt laajempaan valikoimaan haavoittuvuuksia, ei vain Internet Explorerissa, vaan useissa ohjelmistojärjestelmissä.
Suojautuakseen vastaavilta hyökkäyksiltä organisaatioiden ja henkilöiden tulee:
- Päivitä käyttöjärjestelmät ja ohjelmistot säännöllisesti.
- Asenna uusimmat tietoturvakorjaukset.
- Ole varovainen, kun napsautat URL-osoitteita, erityisesti ponnahdusikkunoissa.
Pitämällä järjestelmät ajan tasalla ja olemalla tietoisia epäilyttävistä linkeistä käyttäjät voivat vähentää ScarCruftin kaltaisten ryhmien aiheuttamia riskejä.