उत्तर कोरियाई साइबर समूह RokRAT मैलवेयर फैलाने के लिए विंडोज ज़ीरो-डे का फायदा उठा रहा है

साइबर हमलों की एक नई लहर में, उत्तर कोरियाई हैकिंग समूह स्कारक्रूफ्ट को विंडोज में जीरो-डे भेद्यता के शोषण से जोड़ा गया है। इस दोष ने हमलावरों को रोकरैट नामक एक खतरनाक मैलवेयर फैलाने की अनुमति दी। पैच किए जाने के बावजूद, CVE-2024-38178 के रूप में पहचानी गई भेद्यता ने इंटरनेट एक्सप्लोरर मोड में माइक्रोसॉफ्ट के एज ब्राउज़र का उपयोग करने वाले सिस्टम को उजागर कर दिया।

भेद्यता: CVE-2024-38178

CVE-2024-38178 भेद्यता इंटरनेट एक्सप्लोरर मोड के स्क्रिप्टिंग इंजन में मेमोरी करप्शन की समस्या है। 7.5 के CVSS स्कोर के साथ, इसने एक गंभीर सुरक्षा जोखिम उत्पन्न किया। यदि इसका फायदा उठाया जाता है, तो यह दोष समझौता किए गए मशीनों पर रिमोट कोड निष्पादन को सक्षम करता है। इसके लिए हमलावर को उपयोगकर्ता को दुर्भावनापूर्ण URL पर क्लिक करने के लिए धोखा देना पड़ता है। एक बार यह क्रिया करने के बाद, दुर्भावनापूर्ण कोड निष्पादित होगा, जिससे सिस्टम असुरक्षित हो जाएगा।

Microsoft ने अपने अगस्त 2024 पैच मंगलवार अपडेट में इस दोष को संबोधित किया। हालाँकि, पैच से पहले, ScarCruft ने मैलवेयर फैलाने के लिए भेद्यता का सफलतापूर्वक लाभ उठाया, विशेष रूप से दक्षिण कोरिया में उपयोगकर्ताओं को लक्षित किया। AhnLab सुरक्षा खुफिया केंद्र (ASEC) और दक्षिण कोरिया के राष्ट्रीय साइबर सुरक्षा केंद्र (NCSC) ने दोष की खोज की और रिपोर्ट की। उन्होंने अभियान को "ऑपरेशन कोड ऑन टोस्ट" नाम दिया।

स्कार्क्रूफ्ट की आक्रमण रणनीति

स्कार्क्रूफ्ट, जिसे APT37, RedEyes और InkySquid जैसे अन्य उपनामों से भी जाना जाता है, पुराने या असमर्थित सॉफ़्टवेयर में कमज़ोरियों का फ़ायदा उठाने के लिए कुख्यात है। इस बार, उनकी रणनीति में दक्षिण कोरिया में आमतौर पर इस्तेमाल किया जाने वाला टोस्ट विज्ञापन कार्यक्रम शामिल था। ये "टोस्ट" विज्ञापन स्क्रीन के निचले-दाएँ कोने में दिखाई देने वाली पॉप-अप सूचनाओं को संदर्भित करते हैं।

इस मामले में, हमलावरों ने एक घरेलू विज्ञापन एजेंसी के सर्वर से समझौता किया। उन्होंने टोस्ट विज्ञापनों को संचालित करने वाली स्क्रिप्ट में एक्सप्लॉइट कोड डाला, जिसने फिर डाउनलोड किया और बूबी-ट्रैप्ड सामग्री प्रस्तुत की। सामग्री ने भेद्यता को ट्रिगर किया, विशेष रूप से इंटरनेट एक्सप्लोरर के जावास्क्रिप्ट इंजन (jscript9.dll) को लक्षित किया।

RokRAT मैलवेयर की भूमिका

एक बार जब भेद्यता का फायदा उठाया गया, तो ScarCruft ने संक्रमित मशीनों पर RokRAT मैलवेयर इंस्टॉल कर दिया। RokRAT एक बहुमुखी और खतरनाक मैलवेयर है जो कई तरह की हरकतें करने में सक्षम है:

RokRAT के उल्लेखनीय पहलुओं में से एक यह है कि यह ड्रॉपबॉक्स, गूगल क्लाउड और यांडेक्स क्लाउड जैसी वैध क्लाउड सेवाओं का उपयोग कमांड-एंड-कंट्रोल (C2) सर्वर के रूप में करता है। यह मैलवेयर को सामान्य नेटवर्क ट्रैफ़िक के साथ घुलने-मिलने की अनुमति देता है, जिससे एंटरप्राइज़ वातावरण में इसका पता लगाना मुश्किल हो जाता है।

स्कार्क्रूफ्ट द्वारा पिछले कारनामे

स्कार्क्रूफ्ट का कमजोरियों का फायदा उठाने का इतिहास रहा है, खास तौर पर इंटरनेट एक्सप्लोरर के स्क्रिप्टिंग इंजन में। अतीत में, वे CVE-2020-1380 और CVE-2022-41128 के शोषण से जुड़े थे। CVE-2024-38178 जैसी ये कमजोरियाँ रिमोट कोड निष्पादन की अनुमति देती थीं और इसी तरह मैलवेयर फैलाने के लिए इस्तेमाल की जाती थीं।

बचाव और सिफारिशें

साइबर सुरक्षा विशेषज्ञों ने चेतावनी दी है कि हाल के वर्षों में उत्तर कोरियाई ख़तरनाक तत्व अधिक परिष्कृत हो गए हैं। वे अब सिर्फ़ इंटरनेट एक्सप्लोरर में ही नहीं बल्कि विभिन्न सॉफ़्टवेयर सिस्टम में कमज़ोरियों की एक विस्तृत श्रृंखला को निशाना बना रहे हैं।

इसी प्रकार के हमलों से बचाव के लिए संगठनों और व्यक्तियों को चाहिए:

• ऑपरेटिंग सिस्टम और सॉफ्टवेयर को नियमित रूप से अपडेट करें।
• नवीनतम सुरक्षा पैच स्थापित करें.
• यूआरएल पर क्लिक करते समय सावधानी बरतें, विशेषकर पॉप-अप विज्ञापनों में।

सिस्टम को अद्यतन रखकर और संदिग्ध लिंक के प्रति जागरूक रहकर, उपयोगकर्ता स्कारक्रूफ्ट जैसे समूहों द्वारा उत्पन्न जोखिमों को कम कर सकते हैं।