Grupi Kibernetik i Koresë së Veriut shfrytëzon Windows Zero-Day për të përhapur malware RokRAT
Në një valë të re sulmesh kibernetike, grupi i hakerëve të Koresë së Veriut ScarCruft është lidhur me shfrytëzimin e një cenueshmërie të ditës zero në Windows . Kjo e metë i lejoi sulmuesit të përhapnin një malware të rrezikshëm të njohur si RokRAT . Pavarësisht se ishte rregulluar, dobësia, e identifikuar si CVE-2024-38178, ekspozoi sistemet duke përdorur shfletuesin Edge të Microsoft në modalitetin e Internet Explorer.
Tabela e Përmbajtjes
Dobësia: CVE-2024-38178
Dobësia CVE-2024-38178 është një problem i prishjes së kujtesës në Motorin e Skriptimit të Modalitetit të Internet Explorer. Me një rezultat CVSS prej 7.5, ai përbënte një rrezik të madh sigurie. Nëse shfrytëzohet, defekti mundësoi ekzekutimin e kodit në distancë në makinat e komprometuara. Kjo kërkonte që sulmuesi të mashtronte përdoruesin për të klikuar në një URL me qëllim të keq. Pasi të kryhej ky veprim, kodi me qëllim të keq do të ekzekutohej, duke e lënë sistemin të cenueshëm.
Microsoft e adresoi defektin në përditësimet e tij të Patch Martës në gusht 2024. Megjithatë, përpara patch-it, ScarCruft përdori me sukses dobësinë për të përhapur malware, duke synuar veçanërisht përdoruesit në Korenë e Jugut. Qendra e Inteligjencës së Sigurisë AhnLab (ASEC) dhe Qendra Kombëtare e Sigurisë Kibernetike (NCSC) e Koresë së Jugut zbuluan dhe raportuan defektin. Ata e quajtën fushatën "Kodi i Operacionit në dolli".
Strategjia e Sulmit të ScarCruft
ScarCruft, i njohur gjithashtu nga pseudonimet e tjera si APT37, RedEyes dhe InkySquid, është i njohur për shfrytëzimin e dobësive në softuerët e vjetëruar ose të pambështetur. Këtë herë, strategjia e tyre përfshinte një program reklamimi dolli që përdoret zakonisht në Korenë e Jugut. Këto reklama "dolli" i referohen njoftimeve pop-up që shfaqen në këndin e poshtëm djathtas të ekranit.
Në këtë rast, sulmuesit komprometuan serverin e një agjencie reklamuese vendase. Ata injektuan kodin e shfrytëzimit në skriptin që mundësonte reklamat e dolli, të cilat më pas shkarkonin dhe jepnin përmbajtje të bllokuar. Përmbajtja shkaktoi cenueshmërinë, duke synuar në mënyrë specifike motorin JavaScript të Internet Explorer (jscript9.dll).
Roli i RokRAT Malware
Pasi u shfrytëzua dobësia, ScarCruft instaloi malware RokRAT në makinat e infektuara. RokRAT është një malware i gjithanshëm dhe i rrezikshëm i aftë për disa veprime:
Një nga aspektet e dukshme të RokRAT është përdorimi i tij i shërbimeve të ligjshme cloud si Dropbox, Google Cloud dhe Yandex Cloud si serverë komandimi dhe kontrolli (C2). Kjo lejon që malware të përzihet me trafikun normal të rrjetit, duke e bërë të vështirë zbulimin në mjediset e ndërmarrjes.
Shfrytëzimet e mëparshme nga ScarCruft
ScarCruft ka një histori të shfrytëzimit të dobësive, veçanërisht në Motorin e Skriptimit të Internet Explorer. Në të kaluarën, ato ishin të lidhura me shfrytëzimin e CVE-2020-1380 dhe CVE-2022-41128. Këto dobësi, si CVE-2024-38178, lejuan ekzekutimin e kodit në distancë dhe u përdorën në mënyrë të ngjashme për të përhapur malware.
Mbrojtja dhe rekomandimet
Ekspertët e sigurisë kibernetike paralajmërojnë se aktorët e kërcënimit të Koresë së Veriut janë bërë më të sofistikuar vitet e fundit. Ata tani po synojnë një gamë më të gjerë dobësish, jo vetëm në Internet Explorer, por nëpër sisteme të ndryshme softuerike.
Për të mbrojtur kundër sulmeve të ngjashme, organizatat dhe individët duhet:
- Përditësoni rregullisht sistemet operative dhe softuerin.
- Instaloni arnimet më të fundit të sigurisë.
- Tregoni kujdes kur klikoni në URL, veçanërisht në reklamat pop-up.
Duke i mbajtur sistemet të përditësuara dhe duke qenë të vetëdijshëm për lidhjet e dyshimta, përdoruesit mund të zbusin rreziqet e paraqitura nga grupe si ScarCruft.