Severnokorejska kibernetska skupina izkorišča Windows Zero-Day za širjenje zlonamerne programske opreme RokRAT
V novem valu kibernetskih napadov je bila severnokorejska hekerska skupina ScarCruft povezana z izkoriščanjem ranljivosti zero-day v sistemu Windows . Ta napaka je napadalcem omogočila širjenje nevarne zlonamerne programske opreme, imenovane RokRAT . Kljub temu, da je bila popravljena, je ranljivost, identificirana kot CVE-2024-38178, izpostavila sisteme, ki uporabljajo Microsoftov brskalnik Edge v načinu Internet Explorer.
Kazalo
Ranljivost: CVE-2024-38178
Ranljivost CVE-2024-38178 je težava s poškodbo pomnilnika v skriptnem mehanizmu načina Internet Explorer. Z oceno CVSS 7,5 je predstavljal resno varnostno tveganje. Če je bila napaka izkoriščena, je omogočila oddaljeno izvajanje kode na ogroženih strojih. To je od napadalca zahtevalo, da uporabnika zavede, da klikne zlonamerni URL. Ko je bilo to dejanje izvedeno, bi se zlonamerna koda izvršila, zaradi česar bi bil sistem ranljiv.
Microsoft je napako odpravil v torkovih posodobitvah popravkov avgusta 2024. Pred popravkom pa je ScarCruft uspešno izkoristil ranljivost za širjenje zlonamerne programske opreme, ki je posebej ciljala na uporabnike v Južni Koreji. AhnLab Security Intelligence Center (ASEC) in Nacionalni center za kibernetsko varnost (NCSC) Južne Koreje sta odkrila in prijavila napako. Akcijo so poimenovali "Operacija Code on Toast."
ScarCruftova strategija napada
ScarCruft, znan tudi pod drugimi vzdevki, kot so APT37, RedEyes in InkySquid, je znan po izkoriščanju ranljivosti v zastareli ali nepodprti programski opremi. Tokrat je njihova strategija vključevala program za oglaševanje toastov, ki se običajno uporablja v Južni Koreji. Ti "toast" oglasi se nanašajo na pojavna obvestila, ki se prikažejo v spodnjem desnem kotu zaslona.
V tem primeru so napadalci ogrozili strežnik domače oglaševalske agencije. V skript, ki je poganjal toast oglase, so vbrizgali kodo izkoriščanja, ki je nato prenesla in upodobila vsebino z minami. Vsebina je sprožila ranljivost, ki je posebej ciljala na motor JavaScript v Internet Explorerju (jscript9.dll).
Vloga zlonamerne programske opreme RokRAT
Ko je bila ranljivost izkoriščena, je ScarCruft namestil zlonamerno programsko opremo RokRAT na okužene stroje. RokRAT je vsestranska in nevarna zlonamerna programska oprema, ki lahko izvede več dejanj:
Eden od pomembnih vidikov RokRAT je njegova uporaba zakonitih storitev v oblaku, kot so Dropbox, Google Cloud in Yandex Cloud, kot strežniki za ukazovanje in nadzor (C2). To omogoča, da se zlonamerna programska oprema zlije z običajnim omrežnim prometom, kar oteži odkrivanje v podjetniških okoljih.
Prejšnji podvigi ScarCrufta
ScarCruft ima zgodovino izkoriščanja ranljivosti, zlasti v skriptnem mehanizmu Internet Explorerja. V preteklosti so bili povezani z izkoriščanjem CVE-2020-1380 in CVE-2022-41128. Te ranljivosti, kot je CVE-2024-38178, so omogočale oddaljeno izvajanje kode in so bile podobno uporabljene za širjenje zlonamerne programske opreme.
Zagovor in priporočila
Strokovnjaki za kibernetsko varnost opozarjajo, da so severnokorejski akterji groženj v zadnjih letih postali bolj izpopolnjeni. Zdaj ciljajo na širši nabor ranljivosti, ne le v Internet Explorerju, ampak v različnih programskih sistemih.
Za zaščito pred podobnimi napadi morajo organizacije in posamezniki:
- Redno posodabljajte operacijske sisteme in programsko opremo.
- Namestite najnovejše varnostne popravke.
- Bodite previdni pri klikanju URL-jev, zlasti v pojavnih oglasih.
Z posodabljanjem sistemov in zavedanjem sumljivih povezav lahko uporabniki ublažijo tveganja, ki jih predstavljajo skupine, kot je ScarCruft.