ఉత్తర కొరియా సైబర్ గ్రూప్ RokRAT మాల్వేర్ను వ్యాప్తి చేయడానికి విండోస్ జీరో-డేని ఉపయోగించుకుంటుంది
సైబర్టాక్ల యొక్క కొత్త తరంగంలో, ఉత్తర కొరియా హ్యాకింగ్ గ్రూప్ స్కార్క్రాఫ్ట్ విండోస్లో జీరో-డే దుర్బలత్వం యొక్క దోపిడీకి లింక్ చేయబడింది. ఈ లోపం RokRAT అని పిలువబడే ప్రమాదకరమైన మాల్వేర్ను వ్యాప్తి చేయడానికి దాడి చేసేవారిని అనుమతించింది. ప్యాచ్ చేయబడినప్పటికీ, CVE-2024-38178గా గుర్తించబడిన దుర్బలత్వం, Internet Explorer మోడ్లో Microsoft యొక్క ఎడ్జ్ బ్రౌజర్ని ఉపయోగించి సిస్టమ్లను బహిర్గతం చేసింది.
విషయ సూచిక
దుర్బలత్వం: CVE-2024-38178
CVE-2024-38178 దుర్బలత్వం అనేది ఇంటర్నెట్ ఎక్స్ప్లోరర్ మోడ్ యొక్క స్క్రిప్టింగ్ ఇంజిన్లో మెమరీ అవినీతి సమస్య. CVSS స్కోరు 7.5తో, ఇది తీవ్రమైన భద్రతా ప్రమాదాన్ని కలిగిస్తుంది. దోపిడీకి గురైతే, లోపం రాజీపడిన మెషీన్లలో రిమోట్ కోడ్ అమలును ప్రారంభించింది. హానికరమైన URLపై క్లిక్ చేసేలా దాడి చేసే వ్యక్తి వినియోగదారుని మోసగించడం దీనికి అవసరం. ఈ చర్య ఒకసారి అమలు చేయబడితే, హానికరమైన కోడ్ అమలు చేయబడుతుంది, సిస్టమ్ హానికరంగా ఉంటుంది.
మైక్రోసాఫ్ట్ తన ఆగస్టు 2024 ప్యాచ్ మంగళవారం అప్డేట్లలో లోపాన్ని పరిష్కరించింది. అయినప్పటికీ, ప్యాచ్కు ముందు, మాల్వేర్ను వ్యాప్తి చేసే దుర్బలత్వాన్ని స్కార్క్రాఫ్ట్ విజయవంతంగా ప్రభావితం చేసింది, ప్రత్యేకంగా దక్షిణ కొరియాలోని వినియోగదారులను లక్ష్యంగా చేసుకుంది. దక్షిణ కొరియాలోని అహ్న్ల్యాబ్ సెక్యూరిటీ ఇంటెలిజెన్స్ సెంటర్ (ASEC) మరియు నేషనల్ సైబర్ సెక్యూరిటీ సెంటర్ (NCSC) ఈ లోపాన్ని గుర్తించి నివేదించాయి. వారు ప్రచారానికి "ఆపరేషన్ కోడ్ ఆన్ టోస్ట్" అని పేరు పెట్టారు.
స్కార్క్రాఫ్ట్ యొక్క దాడి వ్యూహం
ScarCruft, APT37, RedEyes మరియు InkySquid వంటి ఇతర మారుపేర్లతో కూడా పిలువబడుతుంది, కాలం చెల్లిన లేదా మద్దతు లేని సాఫ్ట్వేర్లోని దుర్బలత్వాలను ఉపయోగించుకోవడంలో అపఖ్యాతి పాలైంది. ఈసారి, వారి వ్యూహంలో దక్షిణ కొరియాలో సాధారణంగా ఉపయోగించే టోస్ట్ అడ్వర్టైజ్మెంట్ ప్రోగ్రామ్ ఉంది. ఈ "టోస్ట్" ప్రకటనలు స్క్రీన్ కుడి దిగువ మూలలో కనిపించే పాప్-అప్ నోటిఫికేషన్లను సూచిస్తాయి.
ఈ సందర్భంలో, దాడి చేసిన వ్యక్తులు దేశీయ అడ్వర్టైజింగ్ ఏజెన్సీ సర్వర్తో రాజీ పడ్డారు. వారు టోస్ట్ ప్రకటనలకు శక్తినిచ్చే స్క్రిప్ట్లోకి ఎక్స్ప్లోయిట్ కోడ్ను ఇంజెక్ట్ చేసారు, అది బూబీ-ట్రాప్డ్ కంటెంట్ను డౌన్లోడ్ చేసి రెండర్ చేసింది. కంటెంట్ ప్రత్యేకంగా ఇంటర్నెట్ ఎక్స్ప్లోరర్ యొక్క జావాస్క్రిప్ట్ ఇంజిన్ (jscript9.dll)ని లక్ష్యంగా చేసుకుని హానిని ప్రేరేపించింది.
RokRAT మాల్వేర్ పాత్ర
దుర్బలత్వాన్ని ఉపయోగించుకున్న తర్వాత, ScarCruft సోకిన మెషీన్లలో RokRAT మాల్వేర్ను ఇన్స్టాల్ చేసింది. RokRAT అనేది అనేక చర్యలను చేయగల బహుముఖ మరియు ప్రమాదకరమైన మాల్వేర్:
డ్రాప్బాక్స్, గూగుల్ క్లౌడ్ మరియు యాండెక్స్ క్లౌడ్ వంటి చట్టబద్ధమైన క్లౌడ్ సేవలను కమాండ్-అండ్-కంట్రోల్ (సి2) సర్వర్లుగా ఉపయోగించడం RokRAT యొక్క ముఖ్యమైన అంశాలలో ఒకటి. ఇది మాల్వేర్ని సాధారణ నెట్వర్క్ ట్రాఫిక్తో కలపడానికి అనుమతిస్తుంది, ఇది ఎంటర్ప్రైజ్ పరిసరాలలో గుర్తించడం కష్టతరం చేస్తుంది.
ScarCruft ద్వారా మునుపటి దోపిడీలు
ScarCruft ముఖ్యంగా Internet Explorer యొక్క స్క్రిప్టింగ్ ఇంజిన్లో దుర్బలత్వాలను ఉపయోగించుకునే చరిత్రను కలిగి ఉంది. గతంలో, వారు CVE-2020-1380 మరియు CVE-2022-41128 యొక్క దోపిడీతో ముడిపడి ఉన్నారు. CVE-2024-38178 వంటి ఈ దుర్బలత్వాలు రిమోట్ కోడ్ అమలు కోసం అనుమతించబడతాయి మరియు అదే విధంగా మాల్వేర్ను వ్యాప్తి చేయడానికి ఉపయోగించబడ్డాయి.
రక్షణ మరియు సిఫార్సులు
ఇటీవలి సంవత్సరాలలో ఉత్తర కొరియా ముప్పు నటులు మరింత అధునాతనంగా మారారని సైబర్ సెక్యూరిటీ నిపుణులు హెచ్చరిస్తున్నారు. వారు ఇప్పుడు ఇంటర్నెట్ ఎక్స్ప్లోరర్లోనే కాకుండా వివిధ సాఫ్ట్వేర్ సిస్టమ్లలో విస్తృత శ్రేణి దుర్బలత్వాలను లక్ష్యంగా చేసుకున్నారు.
ఇలాంటి దాడుల నుండి రక్షించడానికి, సంస్థలు మరియు వ్యక్తులు వీటిని చేయాలి:
- ఆపరేటింగ్ సిస్టమ్లు మరియు సాఫ్ట్వేర్లను క్రమం తప్పకుండా నవీకరించండి.
- తాజా భద్రతా ప్యాచ్లను ఇన్స్టాల్ చేయండి.
- ముఖ్యంగా పాప్-అప్ యాడ్స్లో URLలపై క్లిక్ చేసేటప్పుడు జాగ్రత్త వహించండి.
సిస్టమ్లను అప్డేట్ చేయడం ద్వారా మరియు అనుమానాస్పద లింక్ల గురించి తెలుసుకోవడం ద్వారా, వినియోగదారులు స్కార్క్రాఫ్ట్ వంటి సమూహాల ద్వారా ఎదురయ్యే ప్రమాదాలను తగ్గించవచ్చు.