Kumpulan Siber Korea Utara Mengeksploitasi Windows Zero-Day untuk Menyebarkan Perisian Hasad RokRAT
Dalam gelombang baru serangan siber, kumpulan penggodam Korea Utara ScarCruft telah dikaitkan dengan eksploitasi kerentanan sifar hari dalam Windows . Kepincangan ini membolehkan penyerang menyebarkan perisian hasad berbahaya yang dikenali sebagai RokRAT . Walaupun telah ditampal, kelemahan, yang dikenal pasti sebagai CVE-2024-38178, mendedahkan sistem menggunakan pelayar Microsoft Edge dalam Mod Internet Explorer.
Isi kandungan
Kerentanan: CVE-2024-38178
Kerentanan CVE-2024-38178 ialah isu kerosakan memori dalam Enjin Skrip Mod Internet Explorer. Dengan skor CVSS 7.5, ia menimbulkan risiko keselamatan yang teruk. Jika dieksploitasi, kecacatan itu mendayakan pelaksanaan kod jauh pada mesin yang terjejas. Ini memerlukan penyerang untuk menipu pengguna supaya mengklik pada URL berniat jahat. Sebaik sahaja tindakan ini dilakukan, kod hasad akan dilaksanakan, menjadikan sistem terdedah.
Microsoft menangani kelemahan dalam kemas kini Patch Tuesday Ogos 2024. Walau bagaimanapun, sebelum tampalan, ScarCruft berjaya memanfaatkan kelemahan untuk menyebarkan perisian hasad, khususnya menyasarkan pengguna di Korea Selatan. Pusat Perisikan Keselamatan AhnLab (ASEC) dan Pusat Keselamatan Siber Kebangsaan (NCSC) Korea Selatan menemui dan melaporkan kecacatan itu. Mereka menggelar kempen "Kod Operasi pada Roti Bakar."
Strategi Serangan ScarCruft
ScarCruft, juga dikenali dengan alias lain seperti APT37, RedEyes dan InkySquid, terkenal kerana mengeksploitasi kelemahan dalam perisian yang sudah lapuk atau tidak disokong. Kali ini, strategi mereka melibatkan program iklan roti bakar yang biasa digunakan di Korea Selatan. Iklan "toast" ini merujuk kepada pemberitahuan pop timbul yang muncul di sudut kanan bawah skrin.
Dalam kes ini, penyerang menjejaskan pelayan agensi pengiklanan domestik. Mereka menyuntik kod eksploitasi ke dalam skrip yang menjanakan iklan roti bakar, yang kemudiannya memuat turun dan menghasilkan kandungan yang terperangkap samar. Kandungan tersebut mencetuskan kerentanan, khususnya menyasarkan Enjin JavaScript Internet Explorer (jscript9.dll).
Peranan RokRAT Malware
Sebaik sahaja kelemahan itu dieksploitasi, ScarCruft memasang perisian hasad RokRAT pada mesin yang dijangkiti. RokRAT ialah perisian hasad yang serba boleh dan berbahaya yang mampu melakukan beberapa tindakan:
Salah satu aspek penting RokRAT ialah penggunaan perkhidmatan awan yang sah seperti Dropbox, Google Cloud dan Yandex Cloud sebagai pelayan arahan dan kawalan (C2). Ini membolehkan perisian hasad untuk bergabung dengan trafik rangkaian biasa, menjadikannya sukar untuk dikesan dalam persekitaran perusahaan.
Eksploitasi Sebelumnya oleh ScarCruft
ScarCruft mempunyai sejarah mengeksploitasi kelemahan, terutamanya dalam Enjin Skrip Internet Explorer. Pada masa lalu, mereka dikaitkan dengan eksploitasi CVE-2020-1380 dan CVE-2022-41128. Kerentanan ini, seperti CVE-2024-38178, membenarkan pelaksanaan kod jauh dan sama digunakan untuk menyebarkan perisian hasad.
Pertahanan dan Syor
Pakar keselamatan siber memberi amaran bahawa pelakon ancaman Korea Utara telah menjadi lebih canggih dalam beberapa tahun kebelakangan ini. Mereka kini menyasarkan pelbagai kelemahan yang lebih luas, bukan sahaja dalam Internet Explorer tetapi merentasi pelbagai sistem perisian.
Untuk melindungi daripada serangan serupa, organisasi dan individu hendaklah:
- Kemas kini sistem pengendalian dan perisian secara kerap.
- Pasang patch keselamatan terkini.
- Berhati-hati apabila mengklik pada URL, terutamanya dalam iklan pop timbul.
Dengan memastikan sistem dikemas kini dan mengetahui tentang pautan yang mencurigakan, pengguna boleh mengurangkan risiko yang ditimbulkan oleh kumpulan seperti ScarCruft.