Den nordkoreanske cybergruppen utnytter Windows Zero-Day for å spre RokRAT-malware
I en ny bølge av nettangrep har den nordkoreanske hackergruppen ScarCruft blitt koblet til utnyttelsen av en nulldagers sårbarhet i Windows . Denne feilen tillot angripere å spre en farlig skadelig programvare kjent som RokRAT . Til tross for at den ble korrigert, avslørte sårbarheten, identifisert som CVE-2024-38178, systemer som bruker Microsofts Edge-nettleser i Internet Explorer-modus.
Innholdsfortegnelse
Sårbarheten: CVE-2024-38178
CVE-2024-38178-sårbarheten er et problem med minnekorrupsjon i skriptmotoren til Internet Explorer-modus. Med en CVSS-score på 7,5 utgjorde det en alvorlig sikkerhetsrisiko. Hvis den ble utnyttet, muliggjorde feilen ekstern kjøring av kode på kompromitterte maskiner. Dette krevde at angriperen lurte brukeren til å klikke på en ondsinnet URL. Når denne handlingen ble utført, vil ondsinnet kode kjøres, noe som gjør systemet sårbart.
Microsoft løste feilen i sine oppdateringer fra August 2024 Patch Tuesday. Men før oppdateringen utnyttet ScarCruft sårbarheten til å spre skadelig programvare, spesielt rettet mot brukere i Sør-Korea. AhnLab Security Intelligence Center (ASEC) og National Cyber Security Center (NCSC) i Sør-Korea oppdaget og rapporterte feilen. De kalte kampanjen «Operation Code on Toast».
ScarCrufts angrepsstrategi
ScarCruft, også kjent under andre aliaser som APT37, RedEyes og InkySquid, er beryktet for å utnytte sårbarheter i utdatert eller ikke-støttet programvare. Denne gangen involverte strategien deres et toast-reklameprogram som vanligvis brukes i Sør-Korea. Disse "toast"-annonsene refererer til popup-varsler som vises i nedre høyre hjørne av skjermen.
I dette tilfellet kompromitterte angriperne serveren til et innenlandsk reklamebyrå. De injiserte utnyttelseskode i skriptet som drev toast-annonsene, som deretter lastet ned og gjengav booby-fanget innhold. Innholdet utløste sikkerhetsproblemet, spesifikt rettet mot Internet Explorers JavaScript-motor (jscript9.dll).
Rollen til RokRAT Malware
Når sårbarheten ble utnyttet, installerte ScarCruft RokRAT malware på infiserte maskiner. RokRAT er en allsidig og farlig skadelig programvare som kan utføre flere handlinger:
En av de bemerkelsesverdige aspektene ved RokRAT er bruken av legitime skytjenester som Dropbox, Google Cloud og Yandex Cloud som kommando-og-kontroll-servere (C2). Dette gjør at skadelig programvare kan blande seg med normal nettverkstrafikk, noe som gjør det vanskelig å oppdage i bedriftsmiljøer.
Tidligere utnyttelser av ScarCruft
ScarCruft har en historie med å utnytte sårbarheter, spesielt i skriptmotoren til Internet Explorer. Tidligere var de knyttet til utnyttelsen av CVE-2020-1380 og CVE-2022-41128. Disse sårbarhetene, som CVE-2024-38178, tillot ekstern kjøring av kode og ble på samme måte brukt til å spre skadelig programvare.
Forsvar og anbefalinger
Eksperter på nettsikkerhet advarer om at nordkoreanske trusselaktører har blitt mer sofistikerte de siste årene. De retter seg nå mot et bredere spekter av sårbarheter, ikke bare i Internet Explorer, men på tvers av ulike programvaresystemer.
For å beskytte mot lignende angrep bør organisasjoner og enkeltpersoner:
- Oppdater operativsystemer og programvare regelmessig.
- Installer de nyeste sikkerhetsoppdateringene.
- Vær forsiktig når du klikker på nettadresser, spesielt i popup-annonser.
Ved å holde systemene oppdatert og være oppmerksomme på mistenkelige koblinger, kan brukere redusere risikoen fra grupper som ScarCruft.