Північнокорейська кібергрупа використовує Windows Zero-Day для поширення шкідливого ПЗ RokRAT
У новій хвилі кібератак північнокорейська хакерська група ScarCruft була пов’язана з використанням уразливості нульового дня в Windows . Цей недолік дозволив зловмисникам поширити небезпечне шкідливе програмне забезпечення під назвою RokRAT . Незважаючи на виправлення, уразливість, ідентифікована як CVE-2024-38178, піддала системи, які використовували браузер Microsoft Edge у режимі Internet Explorer.
Зміст
Уразливість: CVE-2024-38178
Уразливість CVE-2024-38178 є проблемою пошкодження пам’яті в механізмі сценаріїв у режимі Internet Explorer. З оцінкою CVSS 7,5 це становило серйозний ризик для безпеки. У разі використання недолік уможливлював віддалене виконання коду на скомпрометованих машинах. Для цього зловмиснику потрібно було змусити користувача натиснути шкідливу URL-адресу. Після виконання цієї дії шкідливий код виконувався, залишаючи систему вразливою.
Корпорація Майкрософт усунула недолік у своїх оновленнях у вівторок за серпень 2024 року. Однак до виправлення ScarCruft успішно використовував уразливість для поширення зловмисного програмного забезпечення, зокрема для користувачів у Південній Кореї. AhnLab Security Intelligence Center (ASEC) і Національний центр кібербезпеки (NCSC) Південної Кореї виявили та повідомили про недолік. Вони назвали кампанію «Код операції на тості».
Стратегія атаки ScarCruft
ScarCruft, також відомий під іншими псевдонімами, такими як APT37, RedEyes і InkySquid, сумно відомий тим, що використовує вразливості в застарілому або непідтримуваному програмному забезпеченні. Цього разу їхня стратегія включала рекламну програму тостів, яка зазвичай використовується в Південній Кореї. Ці рекламні оголошення стосуються спливаючих сповіщень, які з’являються в нижньому правому куті екрана.
У цьому випадку зловмисники скомпрометували сервер вітчизняного рекламного агентства. Вони ввели код експлойту в сценарій, який запускав рекламні тости, які потім завантажували та відтворювали мінований вміст. Вміст ініціював уразливість, зокрема спрямовану на JavaScript Engine Internet Explorer (jscript9.dll).
Роль шкідливих програм RokRAT
Після використання уразливості ScarCruft встановив зловмисне програмне забезпечення RokRAT на заражених машинах. RokRAT — це універсальне та небезпечне шкідливе програмне забезпечення, здатне виконувати кілька дій:
Одним із помітних аспектів RokRAT є використання законних хмарних сервісів, таких як Dropbox, Google Cloud і Yandex Cloud, як командно-контрольних (C2) серверів. Це дозволяє зловмисному програмному забезпеченню змішуватися зі звичайним мережевим трафіком, що ускладнює його виявлення в корпоративних середовищах.
Попередні експлойти від ScarCruft
ScarCruft має історію використання вразливостей, особливо в механізмі сценаріїв Internet Explorer. У минулому вони були пов’язані з використанням CVE-2020-1380 і CVE-2022-41128. Ці уразливості, як-от CVE-2024-38178, дозволяли дистанційне виконання коду та аналогічно використовувалися для поширення зловмисного програмного забезпечення.
Захист і рекомендації
Експерти з кібербезпеки попереджають, що загрозливі особи Північної Кореї за останні роки стали більш досвідченими. Тепер вони націлені на більш широкий спектр уразливостей не лише в Internet Explorer, але й у різних програмних системах.
Для захисту від подібних атак організації та окремі особи повинні:
- Регулярно оновлюйте операційні системи та програмне забезпечення.
- Установіть найновіші патчі безпеки.
- Будьте обережні, натискаючи URL-адреси, особливо у спливаючих оголошеннях.
Підтримуючи оновлення систем і знаючи про підозрілі посилання, користувачі можуть зменшити ризики, створені такими групами, як ScarCruft.