ក្រុម Cyber របស់កូរ៉េខាងជើង កេងប្រវ័ញ្ច Windows Zero-Day ដើម្បីរីករាលដាលមេរោគ RokRAT

នៅក្នុងរលកថ្មីនៃការវាយប្រហារតាមអ៊ីនធឺណែត ក្រុមហេកឃ័ររបស់កូរ៉េខាងជើង ScarCruft ត្រូវបានផ្សារភ្ជាប់ទៅនឹងការកេងប្រវ័ញ្ចនៃ ភាពងាយរងគ្រោះសូន្យថ្ងៃនៅក្នុង Windows ។ គុណវិបត្តិនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារចែកចាយមេរោគដ៏គ្រោះថ្នាក់ដែលគេស្គាល់ថា RokRAT ។ ទោះបីជាត្រូវបានជួសជុលក៏ដោយ ភាពងាយរងគ្រោះដែលត្រូវបានកំណត់ថាជា CVE-2024-38178 បានលាតត្រដាងប្រព័ន្ធដែលប្រើកម្មវិធីរុករកគែមរបស់ Microsoft នៅក្នុងរបៀប Internet Explorer ។

ភាពងាយរងគ្រោះ៖ CVE-2024-38178

ភាពងាយរងគ្រោះ CVE-2024-38178 គឺជាបញ្ហាខូចអង្គចងចាំនៅក្នុង Scripting Engine នៃ Internet Explorer Mode ។ ជាមួយនឹងពិន្ទុ CVSS នៃ 7.5 វាបង្កហានិភ័យសុវត្ថិភាពធ្ងន់ធ្ងរ។ ប្រសិនបើត្រូវបានកេងប្រវ័ញ្ច កំហុសបានបើកដំណើរការកូដពីចម្ងាយនៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ វាតម្រូវឱ្យអ្នកវាយប្រហារបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យចុចលើ URL ព្យាបាទ។ នៅពេលដែលសកម្មភាពនេះត្រូវបានអនុវត្ត កូដព្យាបាទនឹងដំណើរការ ដោយទុកឱ្យប្រព័ន្ធងាយរងគ្រោះ។

ក្រុមហ៊ុន Microsoft បានដោះស្រាយកំហុសនៅក្នុងការអាប់ដេត Patch Tuesday ខែសីហា ឆ្នាំ 2024 ។ ទោះជាយ៉ាងណាក៏ដោយ មុនពេលបំណះនេះ ScarCruft បានប្រើប្រាស់ភាពងាយរងគ្រោះដោយជោគជ័យក្នុងការរីករាលដាលមេរោគ ជាពិសេសកំណត់គោលដៅអ្នកប្រើប្រាស់នៅក្នុងប្រទេសកូរ៉េខាងត្បូង។ មជ្ឈមណ្ឌលចារកម្មសន្តិសុខ AhnLab (ASEC) និងមជ្ឈមណ្ឌលសន្តិសុខតាមអ៊ីនធឺណិតជាតិ (NCSC) នៃប្រទេសកូរ៉េខាងត្បូងបានរកឃើញ និងរាយការណ៍ពីកំហុសនេះ។ ពួកគេបានហៅយុទ្ធនាការនេះថា "កូដប្រតិបត្តិការនៅលើ Toast" ។

យុទ្ធសាស្ត្រវាយប្រហាររបស់ ScarCruft

ScarCruft ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយផ្សេងទៀតដូចជា APT37, RedEyes និង InkySquid មានភាពល្បីល្បាញសម្រាប់ការទាញយកភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីដែលហួសសម័យ ឬមិនគាំទ្រ។ លើកនេះ យុទ្ធសាស្ត្ររបស់ពួកគេពាក់ព័ន្ធនឹងកម្មវិធីផ្សាយពាណិជ្ជកម្ម toast ដែលប្រើជាទូទៅនៅក្នុងប្រទេសកូរ៉េខាងត្បូង។ ការផ្សាយពាណិជ្ជកម្ម "toast" ទាំងនេះសំដៅលើការជូនដំណឹងលេចឡើងដែលលេចឡើងនៅជ្រុងខាងក្រោមស្តាំនៃអេក្រង់។

ក្នុងករណីនេះ អ្នកវាយប្រហារបានសម្របសម្រួលម៉ាស៊ីនមេរបស់ភ្នាក់ងារផ្សាយពាណិជ្ជកម្មក្នុងស្រុក។ ពួកគេបានចាក់បញ្ចូលកូដកេងប្រវ័ញ្ចទៅក្នុងស្គ្រីបដែលផ្តល់ថាមពលដល់ការផ្សាយពាណិជ្ជកម្ម toast ដែលបន្ទាប់មកបានទាញយក និងបង្ហាញមាតិកាដែលជាប់ក្នុងទ្រូង។ ខ្លឹមសារនេះបានបង្កឱ្យមានភាពងាយរងគ្រោះ ជាពិសេសផ្តោតលើម៉ាស៊ីន JavaScript របស់ Internet Explorer (jscript9.dll)។

តួនាទីរបស់មេរោគ RokRAT

នៅពេលដែលភាពងាយរងគ្រោះត្រូវបានកេងប្រវ័ញ្ច ScarCruft បានដំឡើងមេរោគ RokRAT នៅលើម៉ាស៊ីនដែលមានមេរោគ។ RokRAT គឺជាមេរោគដ៏ច្រើន និងគ្រោះថ្នាក់ដែលអាចធ្វើសកម្មភាពជាច្រើន៖

ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់មួយនៃ RokRAT គឺការប្រើប្រាស់សេវាកម្មពពកស្របច្បាប់ដូចជា Dropbox, Google Cloud និង Yandex Cloud ជាម៉ាស៊ីនមេបញ្ជា និងបញ្ជា (C2) ។ នេះអនុញ្ញាតឱ្យមេរោគបញ្ចូលគ្នាជាមួយចរាចរណ៍បណ្តាញធម្មតា ដែលធ្វើឱ្យវាពិបាកក្នុងការរកឃើញនៅក្នុងបរិស្ថានសហគ្រាស។

ការកេងប្រវ័ញ្ចពីមុនដោយ ScarCruft

ScarCruft មានប្រវត្តិនៃការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះ ជាពិសេសនៅក្នុង Scripting Engine នៃ Internet Explorer ។ កាលពីមុន ពួកគេត្រូវបានភ្ជាប់ទៅនឹងការកេងប្រវ័ញ្ចនៃ CVE-2020-1380 និង CVE-2022-41128 ។ ភាពងាយរងគ្រោះទាំងនេះ ដូចជា CVE-2024-38178 ត្រូវបានអនុញ្ញាតសម្រាប់ការប្រតិបត្តិកូដពីចម្ងាយ ហើយត្រូវបានគេប្រើប្រាស់ស្រដៀងគ្នាដើម្បីផ្សព្វផ្សាយមេរោគ។

ការការពារ និងអនុសាសន៍

អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតព្រមានថា តួអង្គគម្រាមកំហែងរបស់កូរ៉េខាងជើងកាន់តែមានភាពវៃឆ្លាតក្នុងប៉ុន្មានឆ្នាំថ្មីៗនេះ។ ឥឡូវនេះ ពួកគេកំពុងកំណត់គោលដៅលើភាពងាយរងគ្រោះដ៏ធំទូលាយមួយ មិនត្រឹមតែនៅក្នុង Internet Explorer ប៉ុណ្ណោះទេ ប៉ុន្តែនៅទូទាំងប្រព័ន្ធកម្មវិធីផ្សេងៗ។

ដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារស្រដៀងគ្នា អង្គការ និងបុគ្គលគួរតែ៖

• ធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធប្រតិបត្តិការ និងកម្មវិធីជាទៀងទាត់។
• ដំឡើងបំណះសុវត្ថិភាពចុងក្រោយបំផុត។
• អនុវត្តការប្រុងប្រយ័ត្ននៅពេលចុចលើ URLs ជាពិសេសនៅក្នុងការផ្សាយពាណិជ្ជកម្មលេចឡើង។

តាមរយៈការរក្សាប្រព័ន្ធធ្វើឱ្យទាន់សម័យ និងដឹងពីតំណភ្ជាប់គួរឱ្យសង្ស័យ អ្នកប្រើប្រាស់អាចកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយក្រុមដូចជា ScarCruft ជាដើម។