Sinasamantala ng North Korean Cyber Group ang Windows Zero-Day para Ikalat ang RokRAT Malware
Sa isang bagong alon ng cyberattacks, ang North Korean hacking group na ScarCruft ay na-link sa pagsasamantala ng isang zero-day na kahinaan sa Windows . Ang kapintasang ito ay nagbigay-daan sa mga umaatake na magpakalat ng isang mapanganib na malware na kilala bilang RokRAT . Sa kabila ng pagiging patched, ang kahinaan, na kinilala bilang CVE-2024-38178, ay nakalantad na mga system gamit ang Microsoft's Edge browser sa Internet Explorer Mode.
Talaan ng mga Nilalaman
Ang Kahinaan: CVE-2024-38178
Ang kahinaan ng CVE-2024-38178 ay isang isyu sa pagkasira ng memorya sa Scripting Engine ng Internet Explorer Mode. Sa isang marka ng CVSS na 7.5, nagdulot ito ng matinding panganib sa seguridad. Kung pinagsamantalahan, pinagana ng flaw ang remote code execution sa mga nakompromisong machine. Nangangailangan ito ng attacker na linlangin ang user sa pag-click sa isang nakakahamak na URL. Kapag naisagawa na ang pagkilos na ito, ipapatupad ang malisyosong code, na magiging vulnerable sa system.
Tinutugunan ng Microsoft ang kapintasan sa mga update nito noong Agosto 2024 Patch Martes. Gayunpaman, bago ang patch, matagumpay na nagamit ng ScarCruft ang kahinaan upang maikalat ang malware, partikular na nagta-target ng mga user sa South Korea. Natuklasan at iniulat ng AhnLab Security Intelligence Center (ASEC) at ng National Cyber Security Center (NCSC) ng South Korea ang kapintasan. Tinawag nilang "Operation Code on Toast" ang kampanya.
Diskarte sa Pag-atake ng ScarCruft
Ang ScarCruft, na kilala rin sa iba pang mga alias gaya ng APT37, RedEyes, at InkySquid, ay kilalang-kilala sa pagsasamantala sa mga kahinaan sa luma o hindi suportadong software. Sa pagkakataong ito, kasama sa kanilang diskarte ang isang toast advertisement program na karaniwang ginagamit sa South Korea. Ang mga "toast" na ad na ito ay tumutukoy sa mga pop-up na notification na lumalabas sa kanang sulok sa ibaba ng screen.
Sa kasong ito, nakompromiso ng mga umaatake ang server ng isang domestic advertising agency. Nag-inject sila ng exploit code sa script na nagpapagana sa mga toast ad, na pagkatapos ay nag-download at nag-render ng booby-trap na content. Ang nilalaman ay nag-trigger ng kahinaan, partikular na nagta-target sa JavaScript Engine ng Internet Explorer (jscript9.dll).
Ang Papel ng RokRAT Malware
Sa sandaling pinagsamantalahan ang kahinaan, nag-install ang ScarCruft ng RokRAT malware sa mga nahawaang makina. Ang RokRAT ay isang versatile at mapanganib na malware na may kakayahang gumawa ng ilang aksyon:
Isa sa mga kapansin-pansing aspeto ng RokRAT ay ang paggamit nito ng mga lehitimong serbisyo sa cloud tulad ng Dropbox, Google Cloud, at Yandex Cloud bilang command-and-control (C2) server. Nagbibigay-daan ito sa malware na makihalubilo sa normal na trapiko sa network, na nagpapahirap sa pagtuklas sa mga kapaligiran ng enterprise.
Nakaraang Exploits ng ScarCruft
Ang ScarCruft ay may kasaysayan ng pagsasamantala sa mga kahinaan, lalo na sa Scripting Engine ng Internet Explorer. Noong nakaraan, iniugnay sila sa pagsasamantala ng CVE-2020-1380 at CVE-2022-41128. Ang mga kahinaan na ito, tulad ng CVE-2024-38178, ay pinahintulutan para sa malayuang pagpapatupad ng code at ginamit din ito upang maikalat ang malware.
Depensa at Mga Rekomendasyon
Nagbabala ang mga eksperto sa cybersecurity na ang mga aktor ng pagbabanta ng North Korea ay naging mas sopistikado sa mga nakaraang taon. Tina-target na nila ngayon ang mas malawak na hanay ng mga kahinaan, hindi lamang sa Internet Explorer kundi sa iba't ibang software system.
Upang maprotektahan laban sa mga katulad na pag-atake, ang mga organisasyon at indibidwal ay dapat:
- Regular na i-update ang mga operating system at software.
- I-install ang pinakabagong mga patch ng seguridad.
- Mag-ingat kapag nagki-click sa mga URL, lalo na sa mga pop-up ad.
Sa pamamagitan ng pagpapanatiling na-update ng mga system at pagkakaroon ng kamalayan sa mga kahina-hinalang link, mababawasan ng mga user ang mga panganib na dulot ng mga grupo tulad ng ScarCruft.