Ziemeļkorejas kibergrupa izmanto Windows Zero-Day, lai izplatītu RokRAT ļaunprātīgu programmatūru
Jaunā kiberuzbrukumu vilnī Ziemeļkorejas hakeru grupa ScarCruft ir saistīta ar Windows nulles dienas ievainojamības izmantošanu. Šis trūkums ļāva uzbrucējiem izplatīt bīstamu ļaunprātīgu programmatūru, kas pazīstama kā RokRAT . Neskatoties uz to, ka ievainojamība, kas identificēta kā CVE-2024-38178, tika labota, atklāja sistēmas, izmantojot pārlūkprogrammu Microsoft Edge Internet Explorer režīmā.
Satura rādītājs
Ievainojamība: CVE-2024-38178
CVE-2024-38178 ievainojamība ir atmiņas bojājuma problēma Internet Explorer režīma skriptēšanas programmā. Ar CVSS punktu skaitu 7,5, tas radīja nopietnu drošības risku. Ja defekts tika izmantots, tas iespējoja attālu koda izpildi apdraudētās iekārtās. Tas prasīja, lai uzbrucējs pieviltu lietotājam noklikšķināt uz ļaunprātīga URL. Kad šī darbība tiks veikta, tiks izpildīts ļaunprātīgs kods, atstājot sistēmu neaizsargātu.
Microsoft šo trūkumu novērsa savos 2024. gada augusta ielāpu otrdienas atjauninājumos. Tomēr pirms ielāpa ScarCruft veiksmīgi izmantoja ievainojamību, lai izplatītu ļaunprātīgu programmatūru, īpaši mērķējot uz lietotājiem Dienvidkorejā. Dienvidkorejas AhnLab drošības izlūkošanas centrs (ASEC) un Nacionālais kiberdrošības centrs (NCSC) atklāja trūkumu un ziņoja par to. Viņi kampaņu nodēvēja par "Toast darbības kodeksu".
ScarCruft uzbrukuma stratēģija
ScarCruft, kas pazīstams arī ar citiem aizstājvārdiem, piemēram, APT37, RedEyes un InkySquid, ir bēdīgi slavens ar novecojušas vai neatbalstītas programmatūras ievainojamību izmantošanu. Šoreiz viņu stratēģija ietvēra tostu reklāmas programmu, ko parasti izmanto Dienvidkorejā. Šīs "grauzdiņu" reklāmas attiecas uz uznirstošiem paziņojumiem, kas tiek rādīti ekrāna apakšējā labajā stūrī.
Šajā gadījumā uzbrucēji kompromitēja vietējās reklāmas aģentūras serveri. Viņi ievadīja ekspluatācijas kodu skriptā, kas darbojās ar grauzdiņiem, kas pēc tam lejupielādēja un atveidoja slazdītu saturu. Saturs izraisīja ievainojamību, īpaši mērķējot uz Internet Explorer JavaScript programmu (jscript9.dll).
RokRAT ļaunprātīgas programmatūras loma
Kad ievainojamība tika izmantota, ScarCruft inficētajās iekārtās instalēja RokRAT ļaunprātīgu programmatūru. RokRAT ir daudzpusīga un bīstama ļaunprātīga programmatūra, kas spēj veikt vairākas darbības:
Viens no nozīmīgākajiem RokRAT aspektiem ir likumīgu mākoņpakalpojumu, piemēram, Dropbox, Google Cloud un Yandex Cloud, izmantošana kā komandu un kontroles (C2) serveri. Tas ļauj ļaunprātīgai programmatūrai saplūst ar parasto tīkla trafiku, apgrūtinot to atklāšanu uzņēmuma vidē.
Iepriekšējie ScarCruft varoņdarbi
ScarCruft iepriekš ir izmantojis ievainojamības, īpaši Internet Explorer skriptu programmā. Agrāk tie bija saistīti ar CVE-2020-1380 un CVE-2022-41128 izmantošanu. Šīs ievainojamības, piemēram, CVE-2024-38178, ļāva attālināti izpildīt kodu un tika līdzīgi izmantotas ļaunprātīgas programmatūras izplatīšanai.
Aizstāvība un ieteikumi
Kiberdrošības eksperti brīdina, ka Ziemeļkorejas apdraudējuma dalībnieki pēdējos gados ir kļuvuši sarežģītāki. Tagad tie ir vērsti pret plašāku ievainojamību klāstu ne tikai pārlūkprogrammā Internet Explorer, bet arī dažādās programmatūras sistēmās.
Lai aizsargātos pret līdzīgiem uzbrukumiem, organizācijām un privātpersonām:
- Regulāri atjauniniet operētājsistēmas un programmatūru.
- Instalējiet jaunākos drošības ielāpus.
- Esiet piesardzīgs, noklikšķinot uz URL, jo īpaši uznirstošajās reklāmās.
Atjauninot sistēmas un apzinoties aizdomīgas saites, lietotāji var mazināt riskus, ko rada tādas grupas kā ScarCruft.