ਮਲਟੀ-ਲਾਈਸੈਂਸ ਛੂਟ ਦਾ ਹਵਾਲਾ
ਕੰਪਿਊਟਰ ਸੁਰੱਖਿਆ ਉੱਤਰੀ ਕੋਰੀਆਈ ਸਾਈਬਰ ਗਰੁੱਪ ਰੋਕਰੈਟ ਮਾਲਵੇਅਰ ਨੂੰ ਫੈਲਾਉਣ ਲਈ...

ਉੱਤਰੀ ਕੋਰੀਆਈ ਸਾਈਬਰ ਗਰੁੱਪ ਰੋਕਰੈਟ ਮਾਲਵੇਅਰ ਨੂੰ ਫੈਲਾਉਣ ਲਈ ਵਿੰਡੋਜ਼ ਜ਼ੀਰੋ-ਡੇ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ

ਕੰਪਿਊਟਰ ਸੁਰੱਖਿਆ ਵਿੱਚ Mura ਦੁਆਰਾ
ਇਸ ਵਿੱਚ ਅਨੁਵਾਦ ਕਰੋ:
पंजाबी

ਸਾਈਬਰ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਨਵੀਂ ਲਹਿਰ ਵਿੱਚ, ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਹੈਕਿੰਗ ਸਮੂਹ ਸਕਾਰਕ੍ਰਫਟ ਨੂੰ ਵਿੰਡੋਜ਼ ਵਿੱਚ ਇੱਕ ਜ਼ੀਰੋ-ਦਿਨ ਕਮਜ਼ੋਰੀ ਦੇ ਸ਼ੋਸ਼ਣ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਇਸ ਨੁਕਸ ਨੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਇੱਕ ਖਤਰਨਾਕ ਮਾਲਵੇਅਰ ਫੈਲਾਉਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਜਿਸਨੂੰ RokRAT ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਪੈਚ ਕੀਤੇ ਜਾਣ ਦੇ ਬਾਵਜੂਦ, ਕਮਜ਼ੋਰੀ, ਜਿਸ ਦੀ ਪਛਾਣ CVE-2024-38178 ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਨੇ ਇੰਟਰਨੈੱਟ ਐਕਸਪਲੋਰਰ ਮੋਡ ਵਿੱਚ Microsoft ਦੇ Edge ਬ੍ਰਾਊਜ਼ਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸਿਸਟਮਾਂ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ।

ਕਮਜ਼ੋਰੀ: CVE-2024-38178

CVE-2024-38178 ਕਮਜ਼ੋਰੀ ਇੰਟਰਨੈੱਟ ਐਕਸਪਲੋਰਰ ਮੋਡ ਦੇ ਸਕ੍ਰਿਪਟਿੰਗ ਇੰਜਣ ਵਿੱਚ ਇੱਕ ਮੈਮੋਰੀ ਭ੍ਰਿਸ਼ਟਾਚਾਰ ਮੁੱਦਾ ਹੈ। 7.5 ਦੇ CVSS ਸਕੋਰ ਦੇ ਨਾਲ, ਇਹ ਇੱਕ ਗੰਭੀਰ ਸੁਰੱਖਿਆ ਖਤਰਾ ਪੈਦਾ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਨੁਕਸ ਨੇ ਸਮਝੌਤਾ ਵਾਲੀਆਂ ਮਸ਼ੀਨਾਂ 'ਤੇ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ। ਇਸ ਲਈ ਹਮਲਾਵਰ ਨੂੰ ਇੱਕ ਖਤਰਨਾਕ URL 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਲਈ ਉਪਭੋਗਤਾ ਨੂੰ ਧੋਖਾ ਦੇਣ ਦੀ ਲੋੜ ਸੀ। ਇੱਕ ਵਾਰ ਇਹ ਕਾਰਵਾਈ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਖਤਰਨਾਕ ਕੋਡ ਲਾਗੂ ਹੋ ਜਾਵੇਗਾ, ਜਿਸ ਨਾਲ ਸਿਸਟਮ ਕਮਜ਼ੋਰ ਹੋ ਜਾਵੇਗਾ।

ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਨੇ ਆਪਣੇ ਅਗਸਤ 2024 ਪੈਚ ਮੰਗਲਵਾਰ ਦੇ ਅਪਡੇਟਸ ਵਿੱਚ ਖਾਮੀ ਨੂੰ ਸੰਬੋਧਿਤ ਕੀਤਾ. ਹਾਲਾਂਕਿ, ਪੈਚ ਤੋਂ ਪਹਿਲਾਂ, ਸਕਾਰਕ੍ਰਫਟ ਨੇ ਮਾਲਵੇਅਰ ਫੈਲਾਉਣ ਦੀ ਕਮਜ਼ੋਰੀ ਦਾ ਸਫਲਤਾਪੂਰਵਕ ਲਾਭ ਉਠਾਇਆ, ਖਾਸ ਤੌਰ 'ਤੇ ਦੱਖਣੀ ਕੋਰੀਆ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ। AhnLab ਸਕਿਓਰਿਟੀ ਇੰਟੈਲੀਜੈਂਸ ਸੈਂਟਰ (ASEC) ਅਤੇ ਦੱਖਣੀ ਕੋਰੀਆ ਦੇ ਨੈਸ਼ਨਲ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਕੇਂਦਰ (NCSC) ਨੇ ਇਸ ਖਰਾਬੀ ਦੀ ਖੋਜ ਕੀਤੀ ਅਤੇ ਰਿਪੋਰਟ ਕੀਤੀ। ਉਨ੍ਹਾਂ ਨੇ ਮੁਹਿੰਮ ਨੂੰ "ਟੋਸਟ 'ਤੇ ਓਪਰੇਸ਼ਨ ਕੋਡ" ਕਿਹਾ.

ScarCruft ਦੀ ਹਮਲੇ ਦੀ ਰਣਨੀਤੀ

ScarCruft, ਹੋਰ ਉਪਨਾਮਾਂ ਜਿਵੇਂ ਕਿ APT37, RedEyes, ਅਤੇ InkySquid ਦੁਆਰਾ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਪੁਰਾਣੇ ਜਾਂ ਅਸਮਰਥਿਤ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਬਦਨਾਮ ਹੈ। ਇਸ ਵਾਰ, ਉਨ੍ਹਾਂ ਦੀ ਰਣਨੀਤੀ ਵਿੱਚ ਇੱਕ ਟੋਸਟ ਵਿਗਿਆਪਨ ਪ੍ਰੋਗਰਾਮ ਸ਼ਾਮਲ ਹੈ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਦੱਖਣੀ ਕੋਰੀਆ ਵਿੱਚ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ "ਟੋਸਟ" ਵਿਗਿਆਪਨ ਪੌਪ-ਅੱਪ ਸੂਚਨਾਵਾਂ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹਨ ਜੋ ਸਕ੍ਰੀਨ ਦੇ ਹੇਠਲੇ-ਸੱਜੇ ਕੋਨੇ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ।

ਇਸ ਮਾਮਲੇ ਵਿੱਚ, ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ ਘਰੇਲੂ ਵਿਗਿਆਪਨ ਏਜੰਸੀ ਦੇ ਸਰਵਰ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ। ਉਹਨਾਂ ਨੇ ਟੋਸਟ ਵਿਗਿਆਪਨਾਂ ਨੂੰ ਸੰਚਾਲਿਤ ਕਰਨ ਵਾਲੀ ਸਕ੍ਰਿਪਟ ਵਿੱਚ ਸ਼ੋਸ਼ਣ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕੀਤਾ, ਜਿਸਨੇ ਫਿਰ ਬੂਬੀ-ਟੈਪਡ ਸਮੱਗਰੀ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਰੈਂਡਰ ਕੀਤਾ। ਸਮੱਗਰੀ ਨੇ ਕਮਜ਼ੋਰੀ ਨੂੰ ਚਾਲੂ ਕੀਤਾ, ਖਾਸ ਤੌਰ 'ਤੇ ਇੰਟਰਨੈੱਟ ਐਕਸਪਲੋਰਰ ਦੇ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਇੰਜਣ (jscript9.dll) ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ।

ਰੋਕਰੈਟ ਮਾਲਵੇਅਰ ਦੀ ਭੂਮਿਕਾ

ਇੱਕ ਵਾਰ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਤੋਂ ਬਾਅਦ, ScarCruft ਨੇ ਲਾਗ ਵਾਲੀਆਂ ਮਸ਼ੀਨਾਂ 'ਤੇ RokRAT ਮਾਲਵੇਅਰ ਸਥਾਪਤ ਕੀਤਾ। RokRAT ਇੱਕ ਬਹੁਮੁਖੀ ਅਤੇ ਖਤਰਨਾਕ ਮਾਲਵੇਅਰ ਹੈ ਜੋ ਕਈ ਕਾਰਵਾਈਆਂ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ:

  • KakaoTalk, WeChat, ਅਤੇ Chrome, Edge, Opera, ਅਤੇ Firefox ਵਰਗੀਆਂ ਐਪਾਂ ਤੋਂ ਡਾਟਾ ਇਕੱਠਾ ਕਰਨਾ।
  • ਸਮਾਪਤੀ ਪ੍ਰਕਿਰਿਆਵਾਂ।
  • ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣਾ।
  • ਫਾਈਲਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰ ਰਿਹਾ ਹੈ।

    • RokRAT ਦੇ ਮਹੱਤਵਪੂਰਨ ਪਹਿਲੂਆਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ ਡ੍ਰੌਪਬਾਕਸ, ਗੂਗਲ ਕਲਾਉਡ, ਅਤੇ ਯਾਂਡੇਕਸ ਕਲਾਉਡ ਵਰਗੀਆਂ ਜਾਇਜ਼ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਦੀ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰਾਂ ਵਜੋਂ ਵਰਤੋਂ। ਇਹ ਮਾਲਵੇਅਰ ਨੂੰ ਆਮ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਦੇ ਨਾਲ ਮਿਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਨ ਵਿੱਚ ਖੋਜਣਾ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ।

    ScarCruft ਦੁਆਰਾ ਪਿਛਲੇ ਕਾਰਨਾਮੇ

    ScarCruft ਕੋਲ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦਾ ਇਤਿਹਾਸ ਹੈ, ਖਾਸ ਕਰਕੇ ਇੰਟਰਨੈੱਟ ਐਕਸਪਲੋਰਰ ਦੇ ਸਕ੍ਰਿਪਟਿੰਗ ਇੰਜਣ ਵਿੱਚ। ਅਤੀਤ ਵਿੱਚ, ਉਹ CVE-2020-1380 ਅਤੇ CVE-2022-41128 ਦੇ ਸ਼ੋਸ਼ਣ ਨਾਲ ਜੁੜੇ ਹੋਏ ਸਨ। ਇਹ ਕਮਜ਼ੋਰੀਆਂ, ਜਿਵੇਂ ਕਿ CVE-2024-38178, ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀਆਂ ਹਨ ਅਤੇ ਇਸੇ ਤਰ੍ਹਾਂ ਮਾਲਵੇਅਰ ਫੈਲਾਉਣ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਸਨ।

    ਰੱਖਿਆ ਅਤੇ ਸਿਫਾਰਸ਼ਾਂ

    ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰ ਚੇਤਾਵਨੀ ਦਿੰਦੇ ਹਨ ਕਿ ਹਾਲ ਹੀ ਦੇ ਸਾਲਾਂ ਵਿੱਚ ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਵਧੇਰੇ ਸੂਝਵਾਨ ਬਣ ਗਏ ਹਨ। ਉਹ ਹੁਣ ਸਿਰਫ਼ ਇੰਟਰਨੈੱਟ ਐਕਸਪਲੋਰਰ ਵਿੱਚ ਹੀ ਨਹੀਂ ਸਗੋਂ ਵੱਖ-ਵੱਖ ਸੌਫਟਵੇਅਰ ਸਿਸਟਮਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੇ ਹਨ।

    ਸਮਾਨ ਹਮਲਿਆਂ ਤੋਂ ਬਚਾਉਣ ਲਈ, ਸੰਸਥਾਵਾਂ ਅਤੇ ਵਿਅਕਤੀਆਂ ਨੂੰ:

    • ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਅਤੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਨਿਯਮਤ ਤੌਰ 'ਤੇ ਅਪਡੇਟ ਕਰੋ।
    • ਨਵੀਨਤਮ ਸੁਰੱਖਿਆ ਪੈਚ ਸਥਾਪਤ ਕਰੋ।
    • URL 'ਤੇ ਕਲਿੱਕ ਕਰਦੇ ਸਮੇਂ ਸਾਵਧਾਨੀ ਵਰਤੋ, ਖਾਸ ਕਰਕੇ ਪੌਪ-ਅੱਪ ਵਿਗਿਆਪਨਾਂ ਵਿੱਚ।

    ਸਿਸਟਮਾਂ ਨੂੰ ਅੱਪਡੇਟ ਰੱਖ ਕੇ ਅਤੇ ਸ਼ੱਕੀ ਲਿੰਕਾਂ ਤੋਂ ਸੁਚੇਤ ਰਹਿਣ ਨਾਲ, ਵਰਤੋਂਕਾਰ ਸਕਾਰਕ੍ਰਫ਼ਟ ਵਰਗੇ ਸਮੂਹਾਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਏ ਜੋਖਮਾਂ ਨੂੰ ਘੱਟ ਕਰ ਸਕਦੇ ਹਨ।

    ਲੋਡ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ...