बहु-लाइसेन्स छूट उद्धरण
कम्प्युटर सुरक्षा उत्तर कोरियाली साइबर समूहले RokRAT मालवेयर फैलाउन Windows...

उत्तर कोरियाली साइबर समूहले RokRAT मालवेयर फैलाउन Windows Zero-Day को शोषण गर्दछ

कम्प्युटर सुरक्षा मा Mura सम्म
यसमा अनुवाद गर्नुहोस्:
नेपाली

साइबर आक्रमणको नयाँ लहरमा, उत्तर कोरियाली ह्याकिंग समूह ScarCruft लाई Windows मा शून्य-दिनको जोखिमको शोषणसँग जोडिएको छ। यो त्रुटिले आक्रमणकारीहरूलाई RokRAT भनेर चिनिने खतरनाक मालवेयर फैलाउन अनुमति दियो। प्याच गरिएको भए तापनि, CVE-2024-38178 को रूपमा पहिचान गरिएको कमजोरी, इन्टरनेट एक्सप्लोरर मोडमा माइक्रोसफ्टको एज ब्राउजर प्रयोग गर्ने प्रणालीहरू उजागर गरियो।

जोखिम: CVE-2024-38178

CVE-2024-38178 कमजोरी इन्टरनेट एक्सप्लोरर मोडको स्क्रिप्टिङ इन्जिनमा भएको मेमोरी भ्रष्ट समस्या हो। 7.5 को CVSS स्कोरको साथ, यसले गम्भीर सुरक्षा जोखिम खडा गर्यो। यदि शोषण गरियो भने, त्रुटिले सम्झौता गरिएका मेसिनहरूमा रिमोट कोड कार्यान्वयन सक्षम पार्छ। यसले प्रयोगकर्तालाई खराब URL मा क्लिक गर्नका लागि आक्रमणकारीलाई छल गर्न आवश्यक छ। एकचोटि यो कार्य सम्पन्न भएपछि, खराब कोड कार्यान्वयन हुनेछ, प्रणालीलाई कमजोर छोडेर।

माइक्रोसफ्टले यसको अगस्ट २०२४ प्याच मंगलबार अपडेटहरूमा त्रुटिलाई सम्बोधन गर्‍यो। यद्यपि, प्याच अघि, ScarCruft ले मालवेयर फैलाउने जोखिमलाई सफलतापूर्वक उपयोग गर्‍यो, विशेष गरी दक्षिण कोरियाका प्रयोगकर्ताहरूलाई लक्षित गर्दै। AhnLab सुरक्षा खुफिया केन्द्र (ASEC) र दक्षिण कोरियाको राष्ट्रिय साइबर सुरक्षा केन्द्र (NCSC) ले त्रुटि पत्ता लगाए र रिपोर्ट गरे। तिनीहरूले अभियानलाई "टोस्टमा अपरेशन कोड" डब गरे।

ScarCruft को आक्रमण रणनीति

ScarCruft, APT37, RedEyes, र InkySquid जस्ता अन्य उपनामहरू द्वारा पनि चिनिन्छ, पुरानो वा असमर्थित सफ्टवेयरमा कमजोरीहरूको शोषणको लागि कुख्यात छ। यस पटक, तिनीहरूको रणनीतिमा दक्षिण कोरियामा सामान्यतया प्रयोग हुने टोस्ट विज्ञापन कार्यक्रम समावेश थियो। यी "टोस्ट" विज्ञापनहरूले स्क्रिनको तल्लो-दायाँ कुनामा देखा पर्ने पप-अप सूचनाहरूलाई जनाउँछ।

यस अवस्थामा, आक्रमणकारीहरूले घरेलु विज्ञापन एजेन्सीको सर्भरमा सम्झौता गरे। तिनीहरूले स्क्रिप्टमा शोषण कोड इन्जेक्ट गरे जसले टोस्ट विज्ञापनहरू पावर गर्यो, जसले त्यसपछि बूबी-ट्र्याप सामग्री डाउनलोड र रेन्डर गर्यो। सामग्रीले विशेष गरी इन्टरनेट एक्सप्लोररको जाभास्क्रिप्ट इन्जिन (jscript9.dll) लाई लक्षित गर्दै जोखिमलाई ट्रिगर गर्यो।

RokRAT मालवेयर को भूमिका

एकपटक कमजोरीको शोषण गरिसकेपछि, ScarCruft ले संक्रमित मेसिनहरूमा RokRAT मालवेयर स्थापना गर्‍यो। RokRAT एक बहुमुखी र खतरनाक मालवेयर हो जुन धेरै कार्यहरू गर्न सक्षम छ:

  • KakaoTalk, WeChat, र Chrome, Edge, Opera, र Firefox जस्ता ब्राउजरहरूबाट डाटा सङ्कलन गर्दै।
  • समाप्त गर्ने प्रक्रियाहरू।
  • रिमोट सर्भरबाट आदेशहरू कार्यान्वयन गर्दै।
  • फाइलहरूसँग अन्तरक्रिया गर्दै।

    • RokRAT को एक उल्लेखनीय पक्ष भनेको यसको वैध क्लाउड सेवाहरू जस्तै Dropbox, Google Cloud, र Yandex Cloud लाई कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरूको रूपमा प्रयोग गर्नु हो। यसले मालवेयरलाई सामान्य नेटवर्क ट्राफिकसँग मिलाउन अनुमति दिन्छ, यसले उद्यम वातावरणमा पत्ता लगाउन गाह्रो बनाउँछ।

    ScarCruft द्वारा अघिल्लो शोषण

    ScarCruft सँग कमजोरीहरूको शोषण गर्ने इतिहास छ, विशेष गरी इन्टरनेट एक्सप्लोररको स्क्रिप्टिङ इन्जिनमा। विगतमा, तिनीहरू CVE-2020-1380 र CVE-2022-41128 को शोषणसँग जोडिएका थिए। यी कमजोरीहरू, जस्तै CVE-2024-38178, रिमोट कोड कार्यान्वयनको लागि अनुमति दिईयो र मालवेयर फैलाउनको लागि समान रूपमा प्रयोग गरियो।

    रक्षा र सिफारिसहरू

    साइबर सुरक्षा विशेषज्ञहरूले चेतावनी दिएका छन् कि उत्तर कोरियाली खतरा अभिनेताहरू हालका वर्षहरूमा अझ परिष्कृत भएका छन्। तिनीहरूले अब इन्टरनेट एक्सप्लोररमा मात्र नभई विभिन्न सफ्टवेयर प्रणालीहरूमा भेद्यताहरूको फराकिलो दायरालाई लक्षित गर्दै छन्।

    समान आक्रमणहरू विरुद्ध सुरक्षा गर्न, संगठन र व्यक्तिहरूले:

    • नियमित रूपमा अपरेटिङ सिस्टम र सफ्टवेयर अपडेट गर्नुहोस्।
    • नवीनतम सुरक्षा प्याचहरू स्थापना गर्नुहोस्।
    • URL मा क्लिक गर्दा सावधानी अपनाउनुहोस्, विशेष गरी पप-अप विज्ञापनहरूमा।

    प्रणालीहरू अद्यावधिक गरेर र शंकास्पद लिङ्कहरू बारे सचेत भएर, प्रयोगकर्ताहरूले ScarCruft जस्ता समूहहरूद्वारा उत्पन्न जोखिमहरूलाई कम गर्न सक्छन्।

    लोड गर्दै...