Северокорейская кибергруппа использует уязвимость Windows Zero-Day для распространения вредоносного ПО RokRAT
В новой волне кибератак северокорейская хакерская группа ScarCruft была связана с эксплуатацией уязвимости нулевого дня в Windows . Эта уязвимость позволила злоумышленникам распространять опасное вредоносное ПО, известное как RokRAT . Несмотря на исправление, уязвимость, идентифицированная как CVE-2024-38178, подвергала риску системы, использующие браузер Microsoft Edge в режиме Internet Explorer.
Оглавление
Уязвимость: CVE-2024-38178
Уязвимость CVE-2024-38178 представляет собой проблему повреждения памяти в Scripting Engine режима Internet Explorer. С оценкой CVSS 7,5 она представляла серьезную угрозу безопасности. При эксплуатации уязвимость позволяла удаленно выполнять код на скомпрометированных машинах. Для этого злоумышленнику нужно было обманом заставить пользователя щелкнуть по вредоносному URL-адресу. После выполнения этого действия выполнялся вредоносный код, оставляя систему уязвимой.
Microsoft устранила уязвимость в своих обновлениях Patch Tuesday за август 2024 года. Однако до исправления ScarCruft успешно использовал уязвимость для распространения вредоносного ПО, в частности, нацеленного на пользователей в Южной Корее. AhnLab Security Intelligence Center (ASEC) и Национальный центр кибербезопасности (NCSC) Южной Кореи обнаружили и сообщили об уязвимости. Они окрестили кампанию «Операция Код на тосте».
Стратегия атаки ScarCruft
ScarCruft, также известный под другими псевдонимами, такими как APT37, RedEyes и InkySquid, печально известен тем, что использует уязвимости в устаревшем или неподдерживаемом программном обеспечении. На этот раз их стратегия включала в себя программу всплывающей рекламы, широко используемую в Южной Корее. Эти «всплывающие» объявления относятся к всплывающим уведомлениям, которые появляются в правом нижнем углу экрана.
В этом случае злоумышленники скомпрометировали сервер отечественного рекламного агентства. Они внедрили код эксплойта в скрипт, который управлял рекламой-тостом, который затем загружал и отображал контент-ловушку. Контент активировал уязвимость, в частности, нацеленную на движок JavaScript Internet Explorer (jscript9.dll).
Роль вредоносного ПО RokRAT
После эксплуатации уязвимости ScarCruft установил на зараженные машины вредоносное ПО RokRAT. RokRAT — это универсальное и опасное вредоносное ПО, способное выполнять несколько действий:
Одним из примечательных аспектов RokRAT является использование легитимных облачных сервисов, таких как Dropbox, Google Cloud и Yandex Cloud, в качестве серверов управления и контроля (C2). Это позволяет вредоносному ПО смешиваться с обычным сетевым трафиком, что затрудняет его обнаружение в корпоративных средах.
Предыдущие подвиги ScarCruft
ScarCruft имеет историю эксплуатации уязвимостей, особенно в Scripting Engine Internet Explorer. В прошлом они были связаны с эксплуатацией CVE-2020-1380 и CVE-2022-41128. Эти уязвимости, как и CVE-2024-38178, позволяли удаленное выполнение кода и также использовались для распространения вредоносного ПО.
Защита и рекомендации
Эксперты по кибербезопасности предупреждают, что северокорейские злоумышленники стали более изощренными в последние годы. Теперь они нацелены на более широкий спектр уязвимостей, не только в Internet Explorer, но и в различных программных системах.
Для защиты от подобных атак организациям и отдельным лицам следует:
- Регулярно обновляйте операционные системы и программное обеспечение.
- Установите последние исправления безопасности.
- Будьте осторожны при переходе по URL-адресам, особенно во всплывающих окнах с рекламой.
Обновляя системы и осознавая подозрительные ссылки, пользователи могут снизить риски, связанные с такими группами, как ScarCruft.