Az észak-koreai Cyber Group kihasználja a Windows Zero-Day rendszerét a RokRAT rosszindulatú programok terjesztésére
A kibertámadások új hullámában az észak-koreai ScarCruft hackercsoportot a Windows nulladik napi sebezhetőségének kihasználásával hozták kapcsolatba. Ez a hiba lehetővé tette a támadók számára, hogy elterjesszék a RokRAT néven ismert veszélyes kártevőt. A javítás ellenére a CVE-2024-38178-as biztonsági rés a Microsoft Edge böngészőjét használó rendszereket tette közzé Internet Explorer módban.
Tartalomjegyzék
A biztonsági rés: CVE-2024-38178
A CVE-2024-38178 biztonsági rés memóriasérüléssel kapcsolatos probléma az Internet Explorer módban futó Scripting Engine-ben. A 7,5-ös CVSS-pontszámmal komoly biztonsági kockázatot jelentett. Ha kihasználták, a hiba lehetővé tette a távoli kódfuttatást a feltört gépeken. Ehhez a támadónak rá kellett csalnia a felhasználót, hogy rákattintson egy rosszindulatú URL-re. A művelet végrehajtása után rosszindulatú kód fut le, ami a rendszert sebezhetővé teszi.
A Microsoft 2024 augusztusi javítási keddi frissítéseiben orvosolta a hibát. A javítás előtt azonban a ScarCruft sikeresen kihasználta a sebezhetőséget rosszindulatú programok terjesztésére, kifejezetten a dél-koreai felhasználókat célozva meg. A dél-koreai AhnLab Security Intelligence Center (ASEC) és a National Cyber Security Center (NCSC) fedezte fel és jelentette a hibát. A kampányt "Működési kód a Toaston" nevezték el.
ScarCruft támadási stratégiája
A ScarCruft, amelyet más álnevekkel is ismernek, mint például az APT37, a RedEyes és az InkySquid, arról híres, hogy kihasználja az elavult vagy nem támogatott szoftverek sebezhetőségeit. Ezúttal a stratégiájuk egy Dél-Koreában általánosan használt pirítós-hirdetési program volt. Ezek a "pirítós" hirdetések a képernyő jobb alsó sarkában megjelenő felugró értesítésekre utalnak.
Ebben az esetben a támadók egy hazai reklámügynökség szerverét kompromittálták. Exploit kódot fecskendeztek a szkriptbe, amely a pirítós hirdetéseket hajtotta végre, majd letöltötték és előállították a csapdába esett tartalmat. A tartalom váltotta ki a biztonsági rést, különösen az Internet Explorer JavaScript Engine-jét (jscript9.dll) célozva.
A RokRAT malware szerepe
A sérülékenység kihasználása után a ScarCruft RokRAT kártevőt telepített a fertőzött gépekre. A RokRAT egy sokoldalú és veszélyes kártevő, amely számos műveletre képes:
A RokRAT egyik figyelemre méltó szempontja, hogy olyan legitim felhőszolgáltatásokat használ, mint a Dropbox, a Google Cloud és a Yandex Cloud parancs- és vezérlőszerverként (C2). Ez lehetővé teszi, hogy a rosszindulatú program beleolvadjon a normál hálózati forgalomba, ami megnehezíti a felismerést vállalati környezetben.
ScarCruft korábbi exploitjai
A ScarCruft korábban használt sebezhetőségeket, különösen az Internet Explorer Scripting Engine-jében. Korábban a CVE-2020-1380 és a CVE-2022-41128 kiaknázásához kapcsolódtak. Ezek a sérülékenységek, mint például a CVE-2024-38178, lehetővé tették a távoli kódfuttatást, és hasonlóképpen rosszindulatú programok terjesztésére is használták őket.
Védekezés és ajánlások
Kiberbiztonsági szakértők arra figyelmeztetnek, hogy az észak-koreai fenyegetés szereplői az elmúlt években kifinomultabbak lettek. Mostanra a sebezhetőségek szélesebb körét célozzák meg, nemcsak az Internet Explorerben, hanem különféle szoftverrendszereken is.
A hasonló támadások elleni védelem érdekében a szervezeteknek és egyéneknek:
- Rendszeresen frissítse az operációs rendszereket és szoftvereket.
- Telepítse a legújabb biztonsági javításokat.
- Legyen óvatos, amikor URL-ekre kattint, különösen a felugró hirdetésekben.
A rendszerek naprakészen tartásával és a gyanús hivatkozások tudatában a felhasználók mérsékelhetik az olyan csoportok által jelentett kockázatokat, mint a ScarCruft.