Grupul cibernetic nord-coreean exploatează Windows Zero-Day pentru a răspândi malware RokRAT
Într-un nou val de atacuri cibernetice, grupul de hacking nord-coreean ScarCruft a fost legat de exploatarea unei vulnerabilități zero-day în Windows . Acest defect a permis atacatorilor să răspândească un malware periculos cunoscut sub numele de RokRAT . În ciuda faptului că a fost corectată, vulnerabilitatea, identificată ca CVE-2024-38178, a expus sistemele care utilizează browserul Microsoft Edge în modul Internet Explorer.
Cuprins
Vulnerabilitatea: CVE-2024-38178
Vulnerabilitatea CVE-2024-38178 este o problemă de corupție a memoriei în motorul de scripting al modului Internet Explorer. Cu un scor CVSS de 7,5, a reprezentat un risc sever de securitate. Dacă a fost exploatată, defectul a permis executarea de cod de la distanță pe mașinile compromise. Acest lucru a impus atacatorului să păcălească utilizatorul să facă clic pe o adresă URL rău intenționată. Odată ce această acțiune a fost efectuată, codul rău intenționat se va executa, lăsând sistemul vulnerabil.
Microsoft a remediat defectul în actualizările de marți ale corecțiilor din august 2024. Cu toate acestea, înainte de patch-uri, ScarCruft a valorificat cu succes vulnerabilitatea pentru a răspândi programe malware, vizând în special utilizatorii din Coreea de Sud. Centrul de informații privind securitatea AhnLab (ASEC) și Centrul național de securitate cibernetică (NCSC) din Coreea de Sud au descoperit și raportat defectul. Au numit campania „Codul operațiunii pe toast”.
Strategia de atac a lui ScarCruft
ScarCruft, cunoscut și prin alte pseudonime, cum ar fi APT37, RedEyes și InkySquid, este renumit pentru exploatarea vulnerabilităților din software-ul învechit sau neacceptat. De data aceasta, strategia lor a implicat un program de publicitate pentru toast folosit în mod obișnuit în Coreea de Sud. Aceste reclame „toast” se referă la notificări pop-up care apar în colțul din dreapta jos al ecranului.
În acest caz, atacatorii au compromis serverul unei agenții de publicitate autohtone. Ei au injectat cod de exploatare în scriptul care a alimentat reclamele toast, care apoi au descărcat și redat conținut cu capcane. Conținutul a declanșat vulnerabilitatea, vizând în mod special motorul JavaScript din Internet Explorer (jscript9.dll).
Rolul malware-ului RokRAT
Odată ce vulnerabilitatea a fost exploatată, ScarCruft a instalat malware RokRAT pe mașinile infectate. RokRAT este un malware versatil și periculos, capabil de mai multe acțiuni:
Unul dintre aspectele notabile ale RokRAT este utilizarea serviciilor cloud legitime precum Dropbox, Google Cloud și Yandex Cloud ca servere de comandă și control (C2). Acest lucru permite malware-ului să se integreze cu traficul normal de rețea, ceea ce face dificilă detectarea în mediile de întreprindere.
Exploits anterioare de ScarCruft
ScarCruft are o istorie de exploatare a vulnerabilităților, în special în motorul de scripting al Internet Explorer. În trecut, acestea erau legate de exploatarea CVE-2020-1380 și CVE-2022-41128. Aceste vulnerabilități, cum ar fi CVE-2024-38178, au permis executarea de cod de la distanță și au fost utilizate în mod similar pentru a răspândi malware.
Apărare și Recomandări
Experții în securitate cibernetică avertizează că actorii nord-coreeni au devenit mai sofisticați în ultimii ani. Acum vizează o gamă mai largă de vulnerabilități, nu doar în Internet Explorer, ci și în diferite sisteme software.
Pentru a se proteja împotriva unor atacuri similare, organizațiile și indivizii ar trebui:
- Actualizați în mod regulat sistemele de operare și software-ul.
- Instalați cele mai recente corecții de securitate.
- Fiți atenți când faceți clic pe adrese URL, în special în anunțurile pop-up.
Menținând sistemele actualizate și fiind conștienți de legăturile suspecte, utilizatorii pot atenua riscurile prezentate de grupuri precum ScarCruft.