Multilicenčná zľavová ponuka
Počítačová bezpečnosť Severokórejská kybernetická skupina využíva Windows...

Severokórejská kybernetická skupina využíva Windows Zero-Day na šírenie škodlivého softvéru RokRAT

Do roku Mura v roku Počítačová bezpečnosť
Preložiť do:
Slovenčina

V novej vlne kybernetických útokov bola severokórejská hackerská skupina ScarCruft spojená so zneužívaním zero-day zraniteľnosti v systéme Windows . Táto chyba umožnila útočníkom šíriť nebezpečný malvér známy ako RokRAT . Napriek tomu, že bola opravená, zraniteľnosť označená ako CVE-2024-38178 odhalila systémy používajúce prehliadač Edge od spoločnosti Microsoft v režime Internet Explorer.

Chyba: CVE-2024-38178

Chyba zabezpečenia CVE-2024-38178 je problém s poškodením pamäte v skriptovacom mechanizme v režime Internet Explorer. So skóre CVSS 7,5 predstavovalo vážne bezpečnostné riziko. Ak bola chyba zneužitá, umožnila vzdialené spustenie kódu na napadnutých počítačoch. To vyžadovalo, aby útočník oklamal používateľa, aby klikol na škodlivú adresu URL. Po vykonaní tejto akcie sa spustí škodlivý kód a systém zostane zraniteľný.

Microsoft riešil chybu vo svojich aktualizáciách opravného utorok z augusta 2024. Pred opravou však ScarCruft úspešne využil túto zraniteľnosť na šírenie malvéru, konkrétne na používateľov v Južnej Kórei. AhnLab Security Intelligence Center (ASEC) a Národné centrum kybernetickej bezpečnosti (NCSC) v Južnej Kórei objavili a nahlásili chybu. Kampaň nazvali „Operačný kód na toaste“.

Stratégia útoku ScarCruft

ScarCruft, známy aj pod inými aliasmi ako APT37, RedEyes a InkySquid, je známy zneužívaním zraniteľností v zastaranom alebo nepodporovanom softvéri. Tentoraz ich stratégia zahŕňala reklamný program toastov bežne používaný v Južnej Kórei. Tieto „toastové“ reklamy odkazujú na kontextové upozornenia, ktoré sa zobrazujú v pravom dolnom rohu obrazovky.

V tomto prípade útočníci kompromitovali server domácej reklamnej agentúry. Vložili exploit kód do skriptu, ktorý poháňal toastové reklamy, ktoré potom stiahli a vykreslili nastražený obsah. Obsah spustil chybu zabezpečenia, konkrétne sa zameriaval na JavaScript Engine (jscript9.dll) prehliadača Internet Explorer.

Úloha malvéru RokRAT

Akonáhle bola zraniteľnosť zneužitá, ScarCruft nainštaloval malvér RokRAT na infikované počítače. RokRAT je všestranný a nebezpečný malvér schopný niekoľkých akcií:

  • Zhromažďovanie údajov z aplikácií ako KakaoTalk, WeChat a prehliadačov ako Chrome, Edge, Opera a Firefox.
  • Ukončenie procesov.
  • Vykonávanie príkazov zo vzdialeného servera.
  • Interakcia so súbormi.

    • Jedným z pozoruhodných aspektov RokRAT je jeho používanie legitímnych cloudových služieb, ako sú Dropbox, Google Cloud a Yandex Cloud, ako servery príkazov a riadenia (C2). To umožňuje malvéru splynúť s bežnou sieťovou prevádzkou, čo sťažuje detekciu v podnikových prostrediach.

    Predchádzajúce Exploits od ScarCruft

    ScarCruft má históriu zneužívania zraniteľností, najmä v skriptovacom jadre Internet Explorera. V minulosti boli spojené s využívaním CVE-2020-1380 a CVE-2022-41128. Tieto zraniteľnosti, ako napríklad CVE-2024-38178, umožňovali vzdialené spustenie kódu a podobne sa používali na šírenie škodlivého softvéru.

    Obrana a odporúčania

    Odborníci na kybernetickú bezpečnosť varujú, že severokórejskí aktéri hrozieb sú v posledných rokoch sofistikovanejší. Teraz sa zameriavajú na širšiu škálu zraniteľností, a to nielen v Internet Exploreri, ale v rôznych softvérových systémoch.

    Na ochranu pred podobnými útokmi by organizácie a jednotlivci mali:

    • Pravidelne aktualizujte operačné systémy a softvér.
    • Nainštalujte najnovšie bezpečnostné záplaty.
    • Pri klikaní na adresy URL buďte opatrní, najmä v kontextových reklamách.

    Udržiavaním systémov aktualizovaných a vedomím si podozrivých odkazov môžu používatelia zmierniť riziká, ktoré predstavujú skupiny ako ScarCruft.

    Načítava...