Šiaurės Korėjos kibernetinė grupė išnaudoja Windows Zero-Day, kad platintų RokRAT kenkėjišką programą
Naujoje kibernetinių atakų bangoje Šiaurės Korėjos įsilaužėlių grupė „ScarCruft“ buvo siejama su „Windows“ nulinės dienos pažeidžiamumo išnaudojimu. Šis trūkumas leido užpuolikams platinti pavojingą kenkėjišką programą, žinomą kaip RokRAT . Nepaisant pataisymo, pažeidžiamumas, identifikuotas kaip CVE-2024-38178, atskleidė sistemas naudojant Microsoft Edge naršyklę Internet Explorer režimu.
Turinys
Pažeidžiamumas: CVE-2024-38178
Pažeidžiamumas CVE-2024-38178 yra atminties sugadinimo problema Internet Explorer režimo scenarijų modulyje. Kai CVSS balas buvo 7,5, tai kėlė rimtą pavojų saugumui. Jei buvo išnaudota, klaida įgalino nuotolinį kodo vykdymą pažeistuose įrenginiuose. Tam reikėjo, kad užpuolikas apgaudinėtų vartotoją, kad jis spustelėtų kenkėjišką URL. Atlikus šį veiksmą, bus paleistas kenkėjiškas kodas, todėl sistema bus pažeidžiama.
„Microsoft“ išsprendė šį trūkumą savo 2024 m. rugpjūčio mėn. pataisų antradienio atnaujinimuose. Tačiau prieš pataisydama „ScarCruft“ sėkmingai panaudojo pažeidžiamumą, kad skleistų kenkėjiškas programas, ypač skirtas vartotojams Pietų Korėjoje. „AhnLab“ saugumo žvalgybos centras (ASEC) ir Pietų Korėjos Nacionalinis kibernetinio saugumo centras (NCSC) aptiko trūkumą ir pranešė apie tai. Kampaniją jie pavadino „Toasto operacijos kodas“.
ScarCruft atakos strategija
ScarCruft, taip pat žinomas kitais slapyvardžiais, tokiais kaip APT37, RedEyes ir InkySquid, yra pagarsėjęs dėl pasenusios arba nepalaikomos programinės įrangos pažeidžiamumų išnaudojimo. Šį kartą jų strategija apėmė tostų reklamos programą, dažniausiai naudojamą Pietų Korėjoje. Šie „skrudintos duonos“ skelbimai nurodo iššokančiuosius pranešimus, rodomus apatiniame dešiniajame ekrano kampe.
Šiuo atveju užpuolikai sukompromitavo šalies reklamos agentūros serverį. Jie įvedė išnaudojimo kodą į scenarijų, kuris veikė skrebučio skelbimus, o vėliau atsisiųsdavo ir pateikdavo įstrigusį turinį. Turinys suaktyvino pažeidžiamumą, konkrečiai taikydamas „Internet Explorer“ JavaScript modulį (jscript9.dll).
RokRAT kenkėjiškų programų vaidmuo
Kai pažeidžiamumas buvo išnaudotas, „ScarCruft“ įdiegė „RokRAT“ kenkėjišką programą užkrėstuose įrenginiuose. RokRAT yra universali ir pavojinga kenkėjiška programa, galinti atlikti kelis veiksmus:
Vienas iš svarbiausių RokRAT aspektų yra teisėtų debesies paslaugų, tokių kaip „Dropbox“, „Google Cloud“ ir „Yandex Cloud“, naudojimas kaip komandų ir valdymo (C2) serveriai. Tai leidžia kenkėjiškajai programai susilieti su įprastu tinklo srautu, todėl sunku ją aptikti įmonės aplinkoje.
Ankstesni ScarCruft išnaudojimai
„ScarCruft“ išnaudojo pažeidžiamumą, ypač „Internet Explorer“ scenarijų variklyje. Anksčiau jie buvo susiję su CVE-2020-1380 ir CVE-2022-41128 naudojimu. Šios spragos, tokios kaip CVE-2024-38178, leido nuotoliniu būdu vykdyti kodą ir panašiai buvo naudojamos kenkėjiškoms programoms platinti.
Gynyba ir rekomendacijos
Kibernetinio saugumo ekspertai perspėja, kad Šiaurės Korėjos grėsmės veikėjai pastaraisiais metais tapo sudėtingesni. Dabar jie nukreipti į platesnį pažeidžiamumą ne tik „Internet Explorer“, bet ir įvairiose programinės įrangos sistemose.
Norėdami apsisaugoti nuo panašių išpuolių, organizacijos ir asmenys turėtų:
- Reguliariai atnaujinkite operacines sistemas ir programinę įrangą.
- Įdiekite naujausius saugos pataisas.
- Būkite atsargūs spustelėdami URL, ypač iššokančiuosiuose skelbimuose.
Nuolat atnaujindami sistemas ir žinodami apie įtartinas nuorodas, vartotojai gali sumažinti tokių grupių kaip „ScarCruft“ keliamą riziką.