North Korean Cyber Group utnyttjar Windows Zero-Day för att sprida RokRAT Malware
I en ny våg av cyberattacker har den nordkoreanska hackergruppen ScarCruft kopplats till utnyttjandet av en nolldagarssårbarhet i Windows . Denna brist gjorde det möjligt för angripare att sprida en farlig skadlig programvara känd som RokRAT . Trots att sårbarheten, identifierad som CVE-2024-38178, exponerades system som använder Microsofts Edge-webbläsare i Internet Explorer-läge, trots att den har åtgärdats.
Innehållsförteckning
Sårbarheten: CVE-2024-38178
Sårbarheten CVE-2024-38178 är ett problem med minneskorruption i skriptmotorn i Internet Explorer-läge. Med ett CVSS-poäng på 7,5 utgjorde det en allvarlig säkerhetsrisk. Om det utnyttjades, möjliggjorde felet fjärrkörning av kod på komprometterade maskiner. Detta krävde att angriparen lurade användaren att klicka på en skadlig URL. När den här åtgärden väl utförts kommer skadlig kod att köras, vilket gör systemet sårbart.
Microsoft åtgärdade felet i sina uppdateringar av Patch Tuesday för augusti 2024. Men före korrigeringen utnyttjade ScarCruft framgångsrikt sårbarheten för att sprida skadlig programvara, specifikt inriktad på användare i Sydkorea. AhnLab Security Intelligence Center (ASEC) och National Cyber Security Center (NCSC) i Sydkorea upptäckte och rapporterade felet. De kallade kampanjen "Operation Code on Toast".
ScarCrufts attackstrategi
ScarCruft, även känt under andra alias som APT37, RedEyes och InkySquid, är ökänt för att utnyttja sårbarheter i föråldrad eller ostödd programvara. Den här gången involverade deras strategi ett program för toastreklam som ofta används i Sydkorea. Dessa "toast"-annonser hänvisar till popup-meddelanden som visas i det nedre högra hörnet av skärmen.
I det här fallet komprometterade angriparna en inhemsk reklambyrås server. De injicerade exploateringskod i skriptet som drev toast-annonserna, som sedan laddade ner och renderade booby-fällt innehåll. Innehållet utlöste sårbarheten och riktade sig specifikt till Internet Explorers JavaScript-motor (jscript9.dll).
RokRAT Malwares roll
När sårbarheten väl hade utnyttjats installerade ScarCruft RokRAT skadlig kod på infekterade maskiner. RokRAT är en mångsidig och farlig skadlig programvara som kan utföra flera åtgärder:
En av de anmärkningsvärda aspekterna av RokRAT är dess användning av legitima molntjänster som Dropbox, Google Cloud och Yandex Cloud som kommando-och-kontroll (C2)-servrar. Detta gör att skadlig programvara smälter in i normal nätverkstrafik, vilket gör det svårt att upptäcka i företagsmiljöer.
Tidigare utnyttjande av ScarCruft
ScarCruft har en historia av att utnyttja sårbarheter, särskilt i skriptmotorn i Internet Explorer. Tidigare var de kopplade till exploateringen av CVE-2020-1380 och CVE-2022-41128. Dessa sårbarheter, som CVE-2024-38178, möjliggjorde fjärrkörning av kod och användes på liknande sätt för att sprida skadlig programvara.
Försvar och rekommendationer
Cybersäkerhetsexperter varnar för att nordkoreanska hotaktörer har blivit mer sofistikerade de senaste åren. De riktar sig nu mot ett bredare spektrum av sårbarheter, inte bara i Internet Explorer utan över olika programvarusystem.
För att skydda mot liknande attacker bör organisationer och individer:
- Uppdatera regelbundet operativsystem och programvara.
- Installera de senaste säkerhetskorrigeringarna.
- Var försiktig när du klickar på webbadresser, särskilt i popup-annonser.
Genom att hålla systemen uppdaterade och vara medvetna om misstänkta länkar kan användare minska riskerna från grupper som ScarCruft.