Kuzey Koreli Siber Grup, RokRAT Kötü Amaçlı Yazılımını Yaymak İçin Windows Zero-Day'i Kullanıyor
Yeni bir siber saldırı dalgasında, Kuzey Koreli hacker grubu ScarCruft, Windows'taki sıfır günlük bir güvenlik açığının istismarıyla ilişkilendirildi. Bu kusur, saldırganların RokRAT olarak bilinen tehlikeli bir kötü amaçlı yazılımı yaymasına izin verdi. CVE-2024-38178 olarak tanımlanan güvenlik açığı, yamalanmış olmasına rağmen, Microsoft'un Edge tarayıcısını Internet Explorer Modu'nda kullanan sistemleri ifşa etti.
İçindekiler
Güvenlik Açığı: CVE-2024-38178
CVE-2024-38178 güvenlik açığı, Internet Explorer Modu'nun Komut Dosyası Motorunda bir bellek bozulması sorunudur. 7,5'lik bir CVSS puanı ile ciddi bir güvenlik riski oluşturuyordu. Bu açık istismar edilirse, tehlikeye atılmış makinelerde uzaktan kod yürütülmesini sağlıyordu. Bu, saldırganın kullanıcıyı kötü amaçlı bir URL'ye tıklaması için kandırmasını gerektiriyordu. Bu eylem gerçekleştirildikten sonra, kötü amaçlı kod yürütülür ve sistemi savunmasız bırakırdı.
Microsoft, Ağustos 2024 Salı Yaması güncellemelerinde bu açığı ele aldı. Ancak, yamadan önce ScarCruft, özellikle Güney Kore'deki kullanıcıları hedef alarak kötü amaçlı yazılım yaymak için bu açığı başarıyla kullandı. Güney Kore'nin AhnLab Güvenlik İstihbarat Merkezi (ASEC) ve Ulusal Siber Güvenlik Merkezi (NCSC) açığı keşfetti ve bildirdi. Kampanyaya "Toast Üzerindeki Kod Operasyonu" adını verdiler.
ScarCruft'un Saldırı Stratejisi
ScarCruft, APT37, RedEyes ve InkySquid gibi diğer takma adlarla da bilinir ve güncel olmayan veya desteklenmeyen yazılımlardaki güvenlik açıklarını istismar etmesiyle ünlüdür. Bu sefer, stratejileri Güney Kore'de yaygın olarak kullanılan bir tost reklam programını içeriyordu. Bu "tost" reklamları, ekranın sağ alt köşesinde görünen açılır bildirimleri ifade eder.
Bu durumda, saldırganlar yerel bir reklam ajansının sunucusunu tehlikeye attılar. Tost reklamlarını destekleyen betiğe exploit kodu enjekte ettiler, bu da tuzaklı içeriği indirip oluşturdu. İçerik, özellikle Internet Explorer'ın JavaScript Motorunu (jscript9.dll) hedef alarak güvenlik açığını tetikledi.
RokRAT Kötü Amaçlı Yazılımının Rolü
Bu güvenlik açığı istismar edildikten sonra ScarCruft, enfekte olmuş makinelere RokRAT kötü amaçlı yazılımını yükledi. RokRAT, çeşitli eylemlerde bulunabilen çok yönlü ve tehlikeli bir kötü amaçlı yazılımdır:
RokRAT'ın dikkat çekici yönlerinden biri, Dropbox, Google Cloud ve Yandex Cloud gibi meşru bulut hizmetlerini komuta ve kontrol (C2) sunucuları olarak kullanmasıdır. Bu, kötü amaçlı yazılımın normal ağ trafiğine karışmasını sağlayarak kurumsal ortamlarda tespit edilmesini zorlaştırır.
ScarCruft'un Önceki Saldırıları
ScarCruft'un özellikle Internet Explorer'ın Scripting Engine'indeki güvenlik açıklarını istismar etme geçmişi vardır. Geçmişte, CVE-2020-1380 ve CVE-2022-41128'in istismarıyla ilişkilendirilmişlerdi. CVE-2024-38178 gibi bu güvenlik açıkları uzaktan kod yürütülmesine izin veriyordu ve benzer şekilde kötü amaçlı yazılım yaymak için kullanılıyordu.
Savunma ve Öneriler
Siber güvenlik uzmanları, Kuzey Koreli tehdit aktörlerinin son yıllarda daha karmaşık hale geldiği konusunda uyarıyor. Artık yalnızca Internet Explorer'da değil, çeşitli yazılım sistemlerinde daha geniş bir yelpazedeki güvenlik açıklarını hedef alıyorlar.
Benzer saldırılara karşı korunmak için kurum ve kişilerin yapması gerekenler:
- İşletim sistemlerini ve yazılımları düzenli olarak güncelleyin.
- En son güvenlik yamalarını yükleyin.
- Özellikle pop-up reklamlardaki URL'lere tıkladığınızda dikkatli olun.
Sistemleri güncel tutarak ve şüpheli bağlantılardan haberdar olarak kullanıcılar, ScarCruft gibi grupların oluşturduğu riskleri azaltabilirler.