வட கொரிய சைபர் குழு விண்டோஸ் ஜீரோ-டேயை பயன்படுத்தி RokRAT மால்வேரை பரப்புகிறது

சைபர் தாக்குதல்களின் ஒரு புதிய அலையில், வட கொரிய ஹேக்கிங் குழுவான ScarCruft விண்டோஸில் பூஜ்ஜிய நாள் பாதிப்பை சுரண்டுவதில் இணைக்கப்பட்டுள்ளது. இந்தக் குறைபாடு தாக்குபவர்கள் RokRAT எனப்படும் ஆபத்தான தீம்பொருளைப் பரப்ப அனுமதித்தது. இணைக்கப்பட்டிருந்தாலும், CVE-2024-38178 என அடையாளம் காணப்பட்ட பாதிப்பு, இன்டர்நெட் எக்ஸ்ப்ளோரர் பயன்முறையில் மைக்ரோசாப்டின் எட்ஜ் உலாவியைப் பயன்படுத்தும் அமைப்புகளை வெளிப்படுத்தியது.

பாதிப்பு: CVE-2024-38178

CVE-2024-38178 பாதிப்பு என்பது இன்டர்நெட் எக்ஸ்ப்ளோரர் பயன்முறையின் ஸ்கிரிப்டிங் எஞ்சினில் நினைவக சிதைவு சிக்கலாகும். CVSS மதிப்பெண் 7.5 உடன், இது கடுமையான பாதுகாப்பு அபாயத்தை ஏற்படுத்தியது. சுரண்டப்பட்டால், குறைபாடானது சமரசம் செய்யப்பட்ட கணினிகளில் ரிமோட் குறியீட்டை செயல்படுத்துகிறது. தீங்கிழைக்கும் URLஐக் கிளிக் செய்வதன் மூலம் பயனரை ஏமாற்றுவதற்கு இது தாக்குபவர் தேவைப்பட்டது. இந்தச் செயலைச் செய்தவுடன், தீங்கிழைக்கும் குறியீடு செயல்படும், இதனால் கணினி பாதிக்கப்படும்.

மைக்ரோசாப்ட் அதன் ஆகஸ்ட் 2024 பேட்ச் செவ்வாய் புதுப்பிப்புகளில் குறைபாட்டை நிவர்த்தி செய்தது. இருப்பினும், இணைப்புக்கு முன், ScarCruft தீம்பொருளைப் பரப்புவதற்கான பாதிப்பை வெற்றிகரமாகப் பயன்படுத்தியது, குறிப்பாக தென் கொரியாவில் உள்ள பயனர்களைக் குறிவைத்தது. தென் கொரியாவின் AhnLab பாதுகாப்பு புலனாய்வு மையம் (ASEC) மற்றும் தேசிய சைபர் பாதுகாப்பு மையம் (NCSC) ஆகியவை இந்த குறைபாட்டைக் கண்டுபிடித்து அறிக்கை செய்தன. அவர்கள் பிரச்சாரத்திற்கு "டோஸ்ட் மீது ஆபரேஷன் கோட்" என்று பெயரிட்டனர்.

ஸ்கார்க்ரஃப்ட்டின் தாக்குதல் உத்தி

APT37, RedEyes மற்றும் InkySquid போன்ற பிற மாற்றுப்பெயர்களால் அறியப்படும் ScarCruft, காலாவதியான அல்லது ஆதரிக்கப்படாத மென்பொருளில் உள்ள பாதிப்புகளைப் பயன்படுத்துவதில் இழிவானது. இந்த நேரத்தில், அவர்களின் உத்தி தென் கொரியாவில் பொதுவாகப் பயன்படுத்தப்படும் ஒரு சிற்றுண்டி விளம்பரத் திட்டத்தை உள்ளடக்கியது. இந்த "டோஸ்ட்" விளம்பரங்கள் திரையின் கீழ் வலது மூலையில் தோன்றும் பாப்-அப் அறிவிப்புகளைக் குறிக்கும்.

இந்த வழக்கில், தாக்குதல் நடத்தியவர்கள் உள்நாட்டு விளம்பர ஏஜென்சியின் சர்வரை சமரசம் செய்தனர். டோஸ்ட் விளம்பரங்களை இயக்கும் ஸ்கிரிப்ட்டில் சுரண்டல் குறியீட்டை அவர்கள் புகுத்தினார்கள், பின்னர் அது பூபி-ட்ராப் செய்யப்பட்ட உள்ளடக்கத்தை பதிவிறக்கம் செய்து ரெண்டர் செய்தது. இன்டர்நெட் எக்ஸ்புளோரரின் ஜாவாஸ்கிரிப்ட் எஞ்சினை (jscript9.dll) குறிவைத்து உள்ளடக்கம் பாதிப்பை ஏற்படுத்தியது.

RokRAT மால்வேரின் பங்கு

பாதிப்பு சுரண்டப்பட்டவுடன், ScarCruft பாதிக்கப்பட்ட கணினிகளில் RokRAT தீம்பொருளை நிறுவியது. RokRAT என்பது ஒரு பல்துறை மற்றும் ஆபத்தான தீம்பொருள் ஆகும், இது பல செயல்களைச் செய்யக்கூடியது:

RokRAT இன் குறிப்பிடத்தக்க அம்சங்களில் ஒன்று Dropbox, Google Cloud மற்றும் Yandex Cloud போன்ற முறையான கிளவுட் சேவைகளை கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகங்களாகப் பயன்படுத்துவதாகும். இது மால்வேரை சாதாரண நெட்வொர்க் ட்ராஃபிக்குடன் இணைக்க அனுமதிக்கிறது, இதனால் நிறுவன சூழல்களில் கண்டறிவது கடினமாகிறது.

ScarCruft மூலம் முந்தைய சுரண்டல்கள்

ScarCruft ஆனது, குறிப்பாக இன்டர்நெட் எக்ஸ்ப்ளோரரின் ஸ்கிரிப்டிங் இன்ஜினில் உள்ள பாதிப்புகளை பயன்படுத்திக் கொள்ளும் வரலாற்றைக் கொண்டுள்ளது. கடந்த காலத்தில், அவர்கள் CVE-2020-1380 மற்றும் CVE-2022-41128 ஆகியவற்றின் சுரண்டலுடன் இணைக்கப்பட்டனர். இந்த பாதிப்புகள், CVE-2024-38178 போன்றவை, ரிமோட் குறியீட்டை செயல்படுத்த அனுமதிக்கப்படுகின்றன, மேலும் தீம்பொருளைப் பரப்பவும் பயன்படுத்தப்பட்டன.

பாதுகாப்பு மற்றும் பரிந்துரைகள்

வட கொரிய அச்சுறுத்தல் நடிகர்கள் சமீபத்திய ஆண்டுகளில் மிகவும் அதிநவீனமாகிவிட்டதாக சைபர் பாதுகாப்பு நிபுணர்கள் எச்சரிக்கின்றனர். அவர்கள் இப்போது இன்டர்நெட் எக்ஸ்ப்ளோரரில் மட்டுமின்றி பல்வேறு மென்பொருள் அமைப்புகளிலும் பரவலான பாதிப்புகளை இலக்காகக் கொண்டுள்ளனர்.

இதே போன்ற தாக்குதல்களில் இருந்து பாதுகாக்க, நிறுவனங்கள் மற்றும் தனிநபர்கள்:

• இயக்க முறைமைகள் மற்றும் மென்பொருளை தொடர்ந்து புதுப்பிக்கவும்.
• சமீபத்திய பாதுகாப்பு இணைப்புகளை நிறுவவும்.
• குறிப்பாக பாப்-அப் விளம்பரங்களில் URLகளை கிளிக் செய்யும் போது எச்சரிக்கையாக இருக்கவும்.

கணினிகளைப் புதுப்பித்து வைத்திருப்பதன் மூலமும், சந்தேகத்திற்கிடமான இணைப்புகளைப் பற்றி அறிந்திருப்பதன் மூலமும், பயனர்கள் ScarCruft போன்ற குழுக்களால் ஏற்படும் அபாயங்களைக் குறைக்கலாம்.