ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ความปลอดภัยทางคอมพิวเตอร์ กลุ่มไซเบอร์ของเกาหลีเหนือใช้ประโยชน์จาก Windows Zero-Day...

กลุ่มไซเบอร์ของเกาหลีเหนือใช้ประโยชน์จาก Windows Zero-Day เพื่อแพร่กระจายมัลแวร์ RokRAT

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์
แปลเป็น:
ภาษาไทย

จากการโจมตีทางไซเบอร์ระลอกใหม่ กลุ่มแฮกเกอร์จากเกาหลีเหนือ ScarCruft มีส่วนเกี่ยวข้องกับการใช้ประโยชน์จาก ช่องโหว่แบบ zero-day ในระบบ ปฏิบัติการ Windows ช่องโหว่นี้ทำให้ผู้โจมตีสามารถแพร่กระจายมัลแวร์อันตรายที่รู้จักกันในชื่อ RokRAT ได้ แม้จะได้รับการแก้ไขแล้ว แต่ช่องโหว่ดังกล่าวซึ่งระบุเป็น CVE-2024-38178 กลับเปิดเผยระบบที่ใช้เบราว์เซอร์ Edge ของ Microsoft ในโหมด Internet Explorer

ช่องโหว่: CVE-2024-38178

ช่องโหว่ CVE-2024-38178 เป็นปัญหาการเสียหายของหน่วยความจำใน Scripting Engine ของ Internet Explorer Mode โดยมีคะแนน CVSS อยู่ที่ 7.5 ซึ่งถือเป็นความเสี่ยงด้านความปลอดภัยที่ร้ายแรง หากถูกโจมตี ช่องโหว่นี้จะทำให้สามารถเรียกใช้โค้ดจากระยะไกลบนเครื่องที่ถูกโจมตีได้ ผู้โจมตีต้องหลอกล่อให้ผู้ใช้คลิกบน URL ที่เป็นอันตราย เมื่อดำเนินการนี้แล้ว โค้ดที่เป็นอันตรายจะทำงาน ทำให้ระบบเสี่ยงต่ออันตราย

Microsoft ได้แก้ไขข้อบกพร่องดังกล่าวในการอัปเดต Patch Tuesday ประจำเดือนสิงหาคม 2024 อย่างไรก็ตาม ก่อนที่จะมีการอัปเดต ScarCruft ได้ใช้ช่องโหว่นี้เพื่อแพร่กระจายมัลแวร์ได้สำเร็จ โดยกำหนดเป้าหมายไปที่ผู้ใช้ในเกาหลีใต้โดยเฉพาะ AhnLab Security Intelligence Center (ASEC) และ National Cyber Security Center (NCSC) ของเกาหลีใต้ได้ค้นพบและรายงานข้อบกพร่องดังกล่าว โดยพวกเขาตั้งชื่อแคมเปญนี้ว่า "Operation Code on Toast"

กลยุทธ์การโจมตีของ ScarCruft

ScarCruft หรือที่รู้จักในชื่ออื่น ๆ เช่น APT37, RedEyes และ InkySquid มีชื่อเสียงในด้านการใช้ช่องโหว่ในซอฟต์แวร์ที่ล้าสมัยหรือไม่ได้รับการสนับสนุน ในครั้งนี้ กลยุทธ์ของพวกเขาเกี่ยวข้องกับโปรแกรมโฆษณาแบบโทสต์ที่ใช้กันทั่วไปในเกาหลีใต้ โฆษณาแบบ "โทสต์" เหล่านี้หมายถึงการแจ้งเตือนแบบป๊อปอัปที่ปรากฏที่มุมขวาล่างของหน้าจอ

ในกรณีนี้ ผู้โจมตีได้บุกรุกเซิร์ฟเวอร์ของบริษัทโฆษณาในประเทศ โดยได้ใส่โค้ดที่ใช้ประโยชน์ลงในสคริปต์ที่ขับเคลื่อนโฆษณาแบบ Toast จากนั้นสคริปต์ดังกล่าวจะดาวน์โหลดและแสดงผลเนื้อหาที่ดักจับเอาไว้ เนื้อหาดังกล่าวได้ก่อให้เกิดช่องโหว่ โดยเฉพาะอย่างยิ่งที่ JavaScript Engine ของ Internet Explorer (jscript9.dll)

บทบาทของมัลแวร์ RokRAT

เมื่อช่องโหว่ถูกใช้ประโยชน์ ScarCruft จะติดตั้งมัลแวร์ RokRAT บนเครื่องที่ติดไวรัส RokRAT เป็นมัลแวร์ที่ใช้งานได้หลากหลายและอันตราย ซึ่งสามารถดำเนินการได้หลายอย่าง:

  • การรวบรวมข้อมูลจากแอปเช่น KakaoTalk, WeChat และเบราว์เซอร์เช่น Chrome, Edge, Opera และ Firefox
  • การยุติกระบวนการ
  • การดำเนินการคำสั่งจากเซิร์ฟเวอร์ระยะไกล
  • การโต้ตอบกับไฟล์

    • คุณสมบัติที่โดดเด่นอย่างหนึ่งของ RokRAT คือการใช้บริการคลาวด์ที่ถูกกฎหมาย เช่น Dropbox, Google Cloud และ Yandex Cloud เป็นเซิร์ฟเวอร์คำสั่งและควบคุม (C2) ซึ่งทำให้มัลแวร์สามารถผสมผสานเข้ากับปริมาณการใช้งานเครือข่ายปกติ ทำให้ยากต่อการตรวจจับในสภาพแวดล้อมขององค์กร

    ความสามารถครั้งก่อนของ ScarCruft

    ScarCruft มีประวัติการใช้ประโยชน์จากช่องโหว่ โดยเฉพาะใน Scripting Engine ของ Internet Explorer ในอดีต ช่องโหว่เหล่านี้มีความเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่ CVE-2020-1380 และ CVE-2022-41128 ช่องโหว่เหล่านี้ เช่น CVE-2024-38178 อนุญาตให้เรียกใช้โค้ดจากระยะไกลและใช้เพื่อแพร่กระจายมัลแวร์ในลักษณะเดียวกัน

    การป้องกันและคำแนะนำ

    ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนว่าในช่วงไม่กี่ปีที่ผ่านมา ผู้ก่อภัยคุกคามจากเกาหลีเหนือมีเล่ห์เหลี่ยมมากขึ้น โดยปัจจุบันพวกเขาโจมตีช่องโหว่ที่หลากหลายขึ้น ไม่ใช่แค่ใน Internet Explorer เท่านั้น แต่ยังรวมถึงระบบซอฟต์แวร์ต่างๆ ด้วย

    เพื่อป้องกันการโจมตีที่คล้ายคลึงกัน องค์กรและบุคคลควรทำดังนี้:

    • อัปเดตระบบปฏิบัติการและซอฟต์แวร์เป็นประจำ
    • ติดตั้งแพตช์ความปลอดภัยล่าสุด
    • ควรระมัดระวังในการคลิก URL โดยเฉพาะในโฆษณาแบบป๊อปอัป

    ผู้ใช้สามารถลดความเสี่ยงที่เกิดจากกลุ่มเช่น ScarCruft ได้ด้วยการอัพเดตระบบและรับรู้ถึงลิงก์ที่น่าสงสัย

    กำลังโหลด...