הצעת הנחה מרובה רישיונות
אבטחת מחשבים קבוצת הסייבר הצפון קוריאנית מנצלת את Windows Zero-Day כדי...

קבוצת הסייבר הצפון קוריאנית מנצלת את Windows Zero-Day כדי להפיץ תוכנות זדוניות של RokRAT

עד Mura ב-אבטחת מחשבים
לתרגם ל:
עברית

בגל חדש של התקפות סייבר, קבוצת הפריצה הצפון קוריאנית ScarCruft נקשרה לניצול של פגיעות של יום אפס ב-Windows . פגם זה אפשר לתוקפים להפיץ תוכנה זדונית מסוכנת המכונה RokRAT . למרות התיקון, הפגיעות, שזוהתה כ-CVE-2024-38178, חשפה מערכות המשתמשות בדפדפן Edge של מיקרוסופט במצב Internet Explorer.

הפגיעות: CVE-2024-38178

הפגיעות של CVE-2024-38178 היא בעיית השחתת זיכרון במנוע ה-Scripting של מצב Internet Explorer. עם ציון CVSS של 7.5, זה היווה סיכון אבטחה חמור. אם ניצלו, הפגם אפשר ביצוע קוד מרחוק במכונות שנפרצו. זה דרש מהתוקף להערים על המשתמש ללחוץ על כתובת אתר זדונית. לאחר ביצוע פעולה זו, קוד זדוני יתבצע, ומותיר את המערכת פגיעה.

מיקרוסופט טיפלה בפגם בעדכוני אוגוסט 2024 Patch Tuesday. עם זאת, לפני התיקון, ScarCruft מינפה בהצלחה את הפגיעות להפצת תוכנות זדוניות, תוך התמקדות ספציפית במשתמשים בדרום קוריאה. מרכז המודיעין הביטחוני AhnLab (ASEC) והמרכז הלאומי לאבטחת סייבר (NCSC) של דרום קוריאה גילו ודיווחו על הפגם. הם כינו את הקמפיין "קוד מבצע על טוסט".

אסטרטגיית ההתקפה של ScarCruft

ScarCruft, הידועה גם בכינויים אחרים כמו APT37, RedEyes ו-InkySquid, ידועה לשמצה בניצול נקודות תורפה בתוכנות מיושנות או לא נתמכות. הפעם, האסטרטגיה שלהם כללה תוכנית פרסומת טוסט בשימוש נפוץ בדרום קוריאה. מודעות "טוסט" אלו מתייחסות להתראות קופצות המופיעות בפינה הימנית התחתונה של המסך.

במקרה זה, התוקפים פגעו בשרת של משרד פרסום מקומי. הם החדירו קוד ניצול לסקריפט שהניע את מודעות הטוסט, ולאחר מכן הוריד ועיבוד תוכן ממולכד. התוכן הפעיל את הפגיעות, כיוון ספציפית למנוע JavaScript של Internet Explorer (jscript9.dll).

התפקיד של תוכנת זדונית RokRAT

לאחר ניצול הפגיעות, ScarCruft התקינה תוכנה זדונית RokRAT במכונות נגועות. RokRAT הוא תוכנה זדונית רב-תכליתית ומסוכנת המסוגלת לבצע מספר פעולות:

  • איסוף נתונים מאפליקציות כמו KakaoTalk, WeChat ודפדפנים כגון Chrome, Edge, Opera ו-Firefox.
  • סיום תהליכים.
  • ביצוע פקודות משרת מרוחק.
  • אינטראקציה עם קבצים.

    • אחד ההיבטים הבולטים של RokRAT הוא השימוש שלו בשירותי ענן לגיטימיים כמו Dropbox, Google Cloud ו-Yandex Cloud כשרתי פקודה ושליטה (C2). זה מאפשר לתוכנה הזדונית להשתלב עם תעבורת רשת רגילה, מה שמקשה על זיהויה בסביבות ארגוניות.

    ניצולים קודמים מאת ScarCruft

    ל- ScarCruft יש היסטוריה של ניצול פגיעויות, במיוחד במנוע ה-Scripting של Internet Explorer. בעבר, הם היו קשורים לניצול של CVE-2020-1380 ו-CVE-2022-41128. פגיעויות אלו, כמו CVE-2024-38178, אפשרו ביצוע קוד מרחוק ושימשו באופן דומה להפצת תוכנות זדוניות.

    הגנה והמלצות

    מומחי אבטחת סייבר מזהירים ששחקני האיומים הצפון קוריאנים הפכו מתוחכמים יותר בשנים האחרונות. כעת הם מכוונים למגוון רחב יותר של פגיעויות, לא רק ב-Internet Explorer אלא במערכות תוכנה שונות.

    כדי להגן מפני התקפות דומות, ארגונים ואנשים צריכים:

    • עדכן באופן קבוע מערכות הפעלה ותוכנות.
    • התקן את תיקוני האבטחה העדכניים ביותר.
    • היזהר בעת לחיצה על כתובות אתרים, במיוחד במודעות קופצות.

    על ידי עדכון מערכות ומודעות לקישורים חשודים, משתמשים יכולים להפחית את הסיכונים הנשקפים מקבוצות כמו ScarCruft.

    טוען...