Noord-Koreaanse cybergroep misbruikt Windows Zero-Day om RokRAT-malware te verspreiden
In een nieuwe golf van cyberaanvallen is de Noord-Koreaanse hackersgroep ScarCruft in verband gebracht met het misbruiken van een zero-day-kwetsbaarheid in Windows . Deze fout stelde aanvallers in staat om gevaarlijke malware te verspreiden die bekendstaat als RokRAT . Ondanks dat de kwetsbaarheid, geïdentificeerd als CVE-2024-38178, was gepatcht, stelde het systemen bloot die de Edge-browser van Microsoft in de Internet Explorer-modus gebruikten.
Inhoudsopgave
De kwetsbaarheid: CVE-2024-38178
De CVE-2024-38178-kwetsbaarheid is een geheugencorruptieprobleem in de Scripting Engine van Internet Explorer Mode. Met een CVSS-score van 7,5 vormde het een ernstig beveiligingsrisico. Als het werd uitgebuit, maakte het lek uitvoering van externe code op gecompromitteerde machines mogelijk. Hiervoor moest de aanvaller de gebruiker ertoe verleiden op een schadelijke URL te klikken. Zodra deze actie werd uitgevoerd, werd schadelijke code uitgevoerd, waardoor het systeem kwetsbaar werd.
Microsoft heeft de fout aangepakt in de Patch Tuesday-updates van augustus 2024. Vóór de patch wist ScarCruft de kwetsbaarheid echter succesvol te benutten om malware te verspreiden, specifiek gericht op gebruikers in Zuid-Korea. Het AhnLab Security Intelligence Center (ASEC) en het National Cyber Security Center (NCSC) van Zuid-Korea ontdekten en rapporteerden de fout. Ze noemden de campagne "Operation Code on Toast."
ScarCruft's aanvalsstrategie
ScarCruft, ook bekend onder andere aliassen zoals APT37, RedEyes en InkySquid, staat erom bekend kwetsbaarheden in verouderde of niet-ondersteunde software te misbruiken. Deze keer was hun strategie gebaseerd op een toastadvertentieprogramma dat veel wordt gebruikt in Zuid-Korea. Deze "toast"-advertenties verwijzen naar pop-upmeldingen die in de rechteronderhoek van het scherm verschijnen.
In dit geval hebben de aanvallers de server van een binnenlands reclamebureau gecompromitteerd. Ze injecteerden exploitcode in het script dat de toastadvertenties aanstuurde, die vervolgens boobytrap-content downloadden en renderden. De content triggerde de kwetsbaarheid, specifiek gericht op de JavaScript Engine van Internet Explorer (jscript9.dll).
De rol van RokRAT-malware
Nadat de kwetsbaarheid was uitgebuit, installeerde ScarCruft RokRAT-malware op geïnfecteerde machines. RokRAT is een veelzijdige en gevaarlijke malware die in staat is tot verschillende acties:
Een van de opvallende aspecten van RokRAT is het gebruik van legitieme cloudservices zoals Dropbox, Google Cloud en Yandex Cloud als command-and-control (C2) servers. Hierdoor kan de malware zich mengen met normaal netwerkverkeer, waardoor het moeilijk te detecteren is in bedrijfsomgevingen.
Vorige Exploits van ScarCruft
ScarCruft heeft een geschiedenis van het exploiteren van kwetsbaarheden, met name in de Scripting Engine van Internet Explorer. In het verleden werden ze gelinkt aan de exploitatie van CVE-2020-1380 en CVE-2022-41128. Deze kwetsbaarheden, zoals CVE-2024-38178, maakten uitvoering van externe code mogelijk en werden op vergelijkbare wijze gebruikt om malware te verspreiden.
Verdediging en aanbevelingen
Cybersecurity-experts waarschuwen dat Noord-Koreaanse dreigingsactoren de afgelopen jaren steeds geavanceerder zijn geworden. Ze richten zich nu op een breder scala aan kwetsbaarheden, niet alleen in Internet Explorer maar in verschillende softwaresystemen.
Om zich tegen soortgelijke aanvallen te beschermen, moeten organisaties en personen:
- Werk uw besturingssystemen en software regelmatig bij.
- Installeer de nieuwste beveiligingspatches.
- Wees voorzichtig met het klikken op URL's, vooral in pop-upadvertenties.
Door systemen up-to-date te houden en op de hoogte te zijn van verdachte links, kunnen gebruikers de risico's die groepen als ScarCruft vormen, beperken.