Севернокорејска сајбер група користи Виндовс Зеро-Даи за ширење злонамерног софтвера РокРАТ
У новом таласу сајбер напада, севернокорејска хакерска група СцарЦруфт повезана је са искоришћавањем рањивости нултог дана у Виндовс-у . Ова мана је омогућила нападачима да шире опасан малвер познат као РокРАТ . Упркос томе што је закрпљена, рањивост, идентификована као ЦВЕ-2024-38178, открила је системе који користе Мицрософт-ов Едге претраживач у режиму Интернет Екплорер.
Преглед садржаја
Рањивост: ЦВЕ-2024-38178
ЦВЕ-2024-38178 рањивост је проблем са оштећењем меморије у машини за скриптовање у режиму Интернет Екплорер. Са оценом ЦВСС од 7,5, представљало је озбиљан безбедносни ризик. Ако је искоришћена, мана је омогућила даљинско извршавање кода на компромитованим машинама. Ово је захтевало од нападача да превари корисника да кликне на злонамерни УРЛ. Када се ова радња изврши, злонамерни код би се извршио, остављајући систем рањивим.
Мицрософт је отклонио грешку у својим ажурирањима закрпе у уторак у августу 2024. Међутим, пре закрпе, СцарЦруфт је успешно искористио рањивост за ширење малвера, посебно циљајући кориснике у Јужној Кореји. Безбедносно-обавештајни центар АхнЛаб (АСЕЦ) и Национални центар за сајбер безбедност (НЦСЦ) Јужне Кореје открили су и пријавили грешку. Кампању су назвали „Код операције на здравици“.
СцарЦруфтова стратегија напада
СцарЦруфт, такође познат по другим псеудонима као што су АПТ37, РедЕиес и ИнкиСкуид, је озлоглашен по искоришћавању рањивости у застарелом или неподржаном софтверу. Овог пута, њихова стратегија је укључивала програм оглашавања тоста који се обично користи у Јужној Кореји. Ови „тост“ огласи се односе на искачућа обавештења која се појављују у доњем десном углу екрана.
У овом случају, нападачи су компромитовали сервер домаће рекламне агенције. Убацили су код за експлоатацију у скрипту која је покретала тост огласе, који су затим преузимали и приказивали садржај заробљени у мина. Садржај је покренуо рањивост, посебно циљајући Интернет Екплорер ЈаваСцрипт Енгине (јсцрипт9.длл).
Улога злонамерног софтвера РокРАТ
Када је рањивост искоришћена, СцарЦруфт је инсталирао РокРАТ малвер на заражене машине. РокРАТ је свестран и опасан малвер способан за неколико радњи:
Један од значајних аспеката РокРАТ-а је његова употреба легитимних услуга у облаку као што су Дропбок, Гоогле Цлоуд и Иандек Цлоуд као сервери за команду и контролу (Ц2). Ово омогућава малверу да се стопи са нормалним мрежним саобраћајем, што га чини тешким за откривање у окружењима предузећа.
Превиоус Екплоитс би СцарЦруфт
СцарЦруфт има историју искоришћавања рањивости, посебно у Сцриптинг Енгине-у Интернет Екплорер-а. У прошлости су били повезани са експлоатацијом ЦВЕ-2020-1380 и ЦВЕ-2022-41128. Ове рањивости, попут ЦВЕ-2024-38178, омогућавале су даљинско извршавање кода и на сличан начин су коришћене за ширење малвера.
Одбрана и препоруке
Стручњаци за сајбер безбедност упозоравају да су актери претњи Северне Кореје последњих година постали софистициранији. Они сада циљају на шири спектар рањивости, не само у Интернет Екплорер-у, већ иу различитим софтверским системима.
Да би се заштитиле од сличних напада, организације и појединци треба да:
- Редовно ажурирајте оперативне системе и софтвер.
- Инсталирајте најновије безбедносне закрпе.
- Будите опрезни када кликнете на УРЛ адресе, посебно у искачућим огласима.
Одржавајући системе ажурираним и свесни сумњивих веза, корисници могу да ублаже ризике које представљају групе као што је СцарЦруфт.