Północnokoreańska grupa cybernetyczna wykorzystuje lukę Zero-Day w systemie Windows do rozprzestrzeniania złośliwego oprogramowania RokRAT
W nowej fali cyberataków północnokoreańska grupa hakerska ScarCruft została powiązana z wykorzystaniem luki typu zero-day w systemie Windows . Ta luka umożliwiła atakującym rozprzestrzenianie niebezpiecznego złośliwego oprogramowania znanego jako RokRAT . Pomimo załatania luka, zidentyfikowana jako CVE-2024-38178, narażała systemy korzystające z przeglądarki Microsoft Edge w trybie Internet Explorer.
Spis treści
Luka w zabezpieczeniach: CVE-2024-38178
Luka CVE-2024-38178 to problem uszkodzenia pamięci w silniku skryptowym trybu Internet Explorer. Z wynikiem CVSS wynoszącym 7,5 stanowiła poważne zagrożenie bezpieczeństwa. W przypadku wykorzystania luki umożliwiała ona zdalne wykonanie kodu na zainfekowanych maszynach. Wymagało to od atakującego, aby oszukał użytkownika i skłonił go do kliknięcia złośliwego adresu URL. Po wykonaniu tej czynności wykonywany był złośliwy kod, co czyniło system podatnym na ataki.
Firma Microsoft zajęła się tą luką w swoich aktualizacjach Patch Tuesday z sierpnia 2024 r. Jednak przed poprawką ScarCruft skutecznie wykorzystał lukę w zabezpieczeniach, aby rozprzestrzeniać złośliwe oprogramowanie, szczególnie atakując użytkowników w Korei Południowej. AhnLab Security Intelligence Center (ASEC) i National Cyber Security Center (NCSC) Korei Południowej odkryły i zgłosiły lukę. Nazwali kampanię „Operation Code on Toast”.
Strategia ataku ScarCrufta
ScarCruft, znany również pod innymi aliasami, takimi jak APT37, RedEyes i InkySquid, jest znany z wykorzystywania luk w zabezpieczeniach przestarzałego lub nieobsługiwanego oprogramowania. Tym razem ich strategia obejmowała program reklamowy typu toast, powszechnie używany w Korei Południowej. Te reklamy typu „toast” odnoszą się do wyskakujących powiadomień, które pojawiają się w prawym dolnym rogu ekranu.
W tym przypadku atakujący włamali się na serwer krajowej agencji reklamowej. Wstrzyknęli kod exploita do skryptu, który obsługiwał reklamy toast, które następnie pobierały i renderowały zaminowaną zawartość. Zawartość ta wyzwoliła lukę, szczególnie atakując silnik JavaScript programu Internet Explorer (jscript9.dll).
Rola złośliwego oprogramowania RokRAT
Po wykorzystaniu luki ScarCruft zainstalował złośliwe oprogramowanie RokRAT na zainfekowanych maszynach. RokRAT to wszechstronne i niebezpieczne złośliwe oprogramowanie, które może wykonywać kilka czynności:
Jednym z godnych uwagi aspektów RokRAT jest korzystanie z legalnych usług w chmurze, takich jak Dropbox, Google Cloud i Yandex Cloud, jako serwerów poleceń i kontroli (C2). Pozwala to złośliwemu oprogramowaniu wtopić się w normalny ruch sieciowy, co utrudnia jego wykrycie w środowiskach korporacyjnych.
Poprzednie wyczyny ScarCruft
ScarCruft ma historię wykorzystywania luk, szczególnie w silniku skryptowym przeglądarki Internet Explorer. W przeszłości były one powiązane z wykorzystaniem luk CVE-2020-1380 i CVE-2022-41128. Luki te, takie jak CVE-2024-38178, umożliwiały zdalne wykonywanie kodu i były podobnie wykorzystywane do rozprzestrzeniania złośliwego oprogramowania.
Obrona i rekomendacje
Eksperci ds. cyberbezpieczeństwa ostrzegają, że północnokoreańscy aktorzy zagrożeń stali się w ostatnich latach bardziej wyrafinowani. Obecnie atakują szerszy zakres luk, nie tylko w Internet Explorerze, ale w różnych systemach oprogramowania.
Aby chronić się przed podobnymi atakami, organizacje i osoby powinny:
- Regularnie aktualizuj systemy operacyjne i oprogramowanie.
- Zainstaluj najnowsze poprawki zabezpieczeń.
- Należy zachować ostrożność klikając w adresy URL, zwłaszcza w wyskakujących reklamach.
Aktualizując systemy i zwracając uwagę na podejrzane linki, użytkownicy mogą ograniczyć ryzyko, jakie stwarzają grupy takie jak ScarCruft.