Sjevernokorejska Cyber grupa iskorištava Windows Zero-Day za širenje zlonamjernog softvera RokRAT

U novom valu kibernetičkih napada, sjevernokorejska hakerska skupina ScarCruft povezana je s iskorištavanjem ranjivosti zero-day u sustavu Windows . Ovaj propust omogućio je napadačima širenje opasnog malwarea poznatog kao RokRAT . Unatoč tome što je zakrpana, ranjivost, identificirana kao CVE-2024-38178, razotkrila je sustave koji koriste Microsoftov preglednik Edge u načinu rada Internet Explorer.

Ranjivost: CVE-2024-38178

Ranjivost CVE-2024-38178 je problem oštećenja memorije u Scripting Engineu načina rada Internet Explorera. S CVSS ocjenom od 7,5 predstavljao je ozbiljan sigurnosni rizik. Ako se iskoristi, greška je omogućila daljinsko izvršavanje koda na kompromitiranim strojevima. To je zahtijevalo od napadača da prevari korisnika da klikne na zlonamjerni URL. Nakon što je ova radnja izvršena, zlonamjerni kod će se izvršiti, ostavljajući sustav ranjivim.

Microsoft je riješio nedostatak u svojim ažuriranjima zakrpe u utorak u kolovozu 2024. Međutim, prije zakrpe, ScarCruft je uspješno iskoristio ranjivost za širenje zlonamjernog softvera, posebno ciljajući korisnike u Južnoj Koreji. AhnLab Security Intelligence Center (ASEC) i National Cyber Security Center (NCSC) Južne Koreje otkrili su i prijavili propust. Kampanju su nazvali "Operacija Šifra na tostu".

ScarCruftova strategija napada

ScarCruft, također poznat pod drugim aliasima kao što su APT37, RedEyes i InkySquid, poznat je po iskorištavanju ranjivosti u zastarjelom ili nepodržanom softveru. Ovaj put njihova je strategija uključivala program za oglašavanje tosta koji se obično koristi u Južnoj Koreji. Ovi "toast" oglasi odnose se na skočne obavijesti koje se pojavljuju u donjem desnom kutu zaslona.

U ovom slučaju napadači su kompromitirali poslužitelj domaće reklamne agencije. Ubacili su eksploatacijski kod u skriptu koja je pokretala toast oglase, koji su zatim preuzimali i prikazivali minirani sadržaj. Sadržaj je pokrenuo ranjivost, posebno ciljajući na JavaScript mehanizam Internet Explorera (jscript9.dll).

Uloga zlonamjernog softvera RokRAT

Nakon što je ranjivost iskorištena, ScarCruft je instalirao RokRAT malware na zaražene strojeve. RokRAT je svestran i opasan malware sposoban za nekoliko radnji:

Jedan od značajnih aspekata RokRAT-a je njegova upotreba legitimnih usluga u oblaku kao što su Dropbox, Google Cloud i Yandex Cloud kao poslužitelja za naredbu i kontrolu (C2). To omogućuje zlonamjernom softveru da se uklopi u normalan mrežni promet, što otežava otkrivanje u poslovnim okruženjima.

Prethodni podvigi ScarCrufta

ScarCruft ima povijest iskorištavanja ranjivosti, posebno u Scripting Engineu Internet Explorera. U prošlosti su bili povezani s iskorištavanjem CVE-2020-1380 i CVE-2022-41128. Te su ranjivosti, poput CVE-2024-38178, dopuštale daljinsko izvršavanje koda i na sličan su način korištene za širenje zlonamjernog softvera.

Obrana i preporuke

Stručnjaci za kibernetičku sigurnost upozoravaju da su sjevernokorejski akteri prijetnji posljednjih godina postali sofisticiraniji. Sada ciljaju na širi raspon ranjivosti, ne samo u Internet Exploreru nego iu raznim softverskim sustavima.

Za zaštitu od sličnih napada, organizacije i pojedinci trebaju:

• Redovito ažurirajte operativne sustave i softver.
• Instalirajte najnovije sigurnosne zakrpe.
• Budite oprezni pri klikanju na URL-ove, osobito u skočnim oglasima.

Održavanjem sustava ažuriranim i svjesnim sumnjivih poveznica, korisnici mogu ublažiti rizike koje predstavljaju grupe poput ScarCrufta.