Un gruppo informatico nordcoreano sfrutta Windows Zero-Day per diffondere il malware RokRAT
In una nuova ondata di attacchi informatici, il gruppo di hacker nordcoreano ScarCruft è stato collegato allo sfruttamento di una vulnerabilità zero-day in Windows . Questa falla ha consentito agli aggressori di diffondere un pericoloso malware noto come RokRAT . Nonostante fosse stata patchata, la vulnerabilità, identificata come CVE-2024-38178, ha esposto i sistemi che utilizzavano il browser Edge di Microsoft in modalità Internet Explorer.
Sommario
La vulnerabilità: CVE-2024-38178
La vulnerabilità CVE-2024-38178 è un problema di corruzione della memoria nello Scripting Engine di Internet Explorer Mode. Con un punteggio CVSS di 7,5, rappresentava un grave rischio per la sicurezza. Se sfruttata, la falla consentiva l'esecuzione di codice remoto su macchine compromesse. Ciò richiedeva all'aggressore di ingannare l'utente inducendolo a cliccare su un URL dannoso. Una volta eseguita questa azione, il codice dannoso veniva eseguito, lasciando il sistema vulnerabile.
Microsoft ha affrontato la falla nei suoi aggiornamenti Patch Tuesday di agosto 2024. Tuttavia, prima della patch, ScarCruft ha sfruttato con successo la vulnerabilità per diffondere malware, prendendo di mira specificamente gli utenti in Corea del Sud. L'AhnLab Security Intelligence Center (ASEC) e il National Cyber Security Center (NCSC) della Corea del Sud hanno scoperto e segnalato la falla. Hanno soprannominato la campagna "Operation Code on Toast".
Strategia di attacco di ScarCruft
ScarCruft, noto anche con altri alias come APT37, RedEyes e InkySquid, è noto per sfruttare vulnerabilità in software obsoleti o non supportati. Questa volta, la loro strategia ha coinvolto un programma di pubblicità toast comunemente utilizzato in Corea del Sud. Questi annunci "toast" si riferiscono a notifiche pop-up che appaiono nell'angolo in basso a destra dello schermo.
In questo caso, gli aggressori hanno compromesso il server di un'agenzia pubblicitaria nazionale. Hanno iniettato codice exploit nello script che alimentava gli annunci toast, che poi scaricavano e riproducevano contenuti trappola. Il contenuto ha attivato la vulnerabilità, prendendo di mira in modo specifico il motore JavaScript di Internet Explorer (jscript9.dll).
Il ruolo del malware RokRAT
Una volta sfruttata la vulnerabilità, ScarCruft ha installato il malware RokRAT sulle macchine infette. RokRAT è un malware versatile e pericoloso in grado di compiere diverse azioni:
Uno degli aspetti degni di nota di RokRAT è l'uso di servizi cloud legittimi come Dropbox, Google Cloud e Yandex Cloud come server di comando e controllo (C2). Ciò consente al malware di mimetizzarsi nel normale traffico di rete, rendendone difficile il rilevamento in ambienti aziendali.
Exploit precedenti di ScarCruft
ScarCruft ha una storia di sfruttamento delle vulnerabilità, in particolare nello Scripting Engine di Internet Explorer. In passato, erano collegate allo sfruttamento di CVE-2020-1380 e CVE-2022-41128. Queste vulnerabilità, come CVE-2024-38178, consentivano l'esecuzione di codice remoto e venivano utilizzate in modo simile per diffondere malware.
Difesa e raccomandazioni
Gli esperti di sicurezza informatica avvertono che gli attori delle minacce nordcoreane sono diventati più sofisticati negli ultimi anni. Ora stanno prendendo di mira una gamma più ampia di vulnerabilità, non solo in Internet Explorer ma in vari sistemi software.
Per proteggersi da attacchi simili, le organizzazioni e gli individui dovrebbero:
- Aggiornare regolarmente i sistemi operativi e i software.
- Installa le ultime patch di sicurezza.
- Prestare attenzione quando si clicca sugli URL, soprattutto negli annunci pop-up.
Mantenendo aggiornati i sistemi e prestando attenzione ai link sospetti, gli utenti possono ridurre i rischi posti da gruppi come ScarCruft.