Nhóm mạng Bắc Triều Tiên khai thác lỗ hổng Zero-Day của Windows để phát tán phần mềm độc hại RokRAT

Trong làn sóng tấn công mạng mới, nhóm tin tặc ScarCruft của Triều Tiên đã bị cáo buộc khai thác lỗ hổng zero-day trong Windows . Lỗ hổng này cho phép kẻ tấn công phát tán phần mềm độc hại nguy hiểm có tên là RokRAT . Mặc dù đã được vá, lỗ hổng được xác định là CVE-2024-38178 đã làm lộ các hệ thống sử dụng trình duyệt Edge của Microsoft ở Chế độ Internet Explorer.

Lỗ hổng: CVE-2024-38178

Lỗ hổng CVE-2024-38178 là sự cố hỏng bộ nhớ trong Scripting Engine của Internet Explorer Mode. Với điểm CVSS là 7,5, nó gây ra rủi ro bảo mật nghiêm trọng. Nếu bị khai thác, lỗ hổng này cho phép thực thi mã từ xa trên các máy bị xâm phạm. Điều này yêu cầu kẻ tấn công lừa người dùng nhấp vào URL độc hại. Sau khi hành động này được thực hiện, mã độc sẽ thực thi, khiến hệ thống dễ bị tấn công.

Microsoft đã giải quyết lỗ hổng này trong bản cập nhật Patch Tuesday tháng 8 năm 2024. Tuy nhiên, trước khi có bản vá, ScarCruft đã lợi dụng thành công lỗ hổng này để phát tán phần mềm độc hại, đặc biệt nhắm vào người dùng ở Hàn Quốc. Trung tâm tình báo an ninh AhnLab (ASEC) và Trung tâm an ninh mạng quốc gia (NCSC) của Hàn Quốc đã phát hiện và báo cáo lỗ hổng này. Họ đặt tên cho chiến dịch là "Operation Code on Toast".

Chiến lược tấn công của ScarCruft

ScarCruft, còn được biết đến với các bí danh khác như APT37, RedEyes và InkySquid, nổi tiếng với việc khai thác lỗ hổng trong phần mềm lỗi thời hoặc không được hỗ trợ. Lần này, chiến lược của chúng liên quan đến chương trình quảng cáo toast thường được sử dụng ở Hàn Quốc. Những quảng cáo "toast" này ám chỉ các thông báo bật lên xuất hiện ở góc dưới bên phải của màn hình.

Trong trường hợp này, những kẻ tấn công đã xâm phạm máy chủ của một công ty quảng cáo trong nước. Chúng đã tiêm mã khai thác vào tập lệnh cung cấp năng lượng cho quảng cáo toast, sau đó tải xuống và hiển thị nội dung bẫy. Nội dung đã kích hoạt lỗ hổng, đặc biệt nhắm vào Công cụ JavaScript của Internet Explorer (jscript9.dll).

Vai trò của phần mềm độc hại RokRAT

Sau khi lỗ hổng bị khai thác, ScarCruft đã cài đặt phần mềm độc hại RokRAT trên các máy bị nhiễm. RokRAT là phần mềm độc hại đa năng và nguy hiểm có khả năng thực hiện một số hành động:

Một trong những khía cạnh đáng chú ý của RokRAT là việc sử dụng các dịch vụ đám mây hợp pháp như Dropbox, Google Cloud và Yandex Cloud làm máy chủ chỉ huy và kiểm soát (C2). Điều này cho phép phần mềm độc hại hòa nhập với lưu lượng mạng bình thường, khiến nó khó bị phát hiện trong môi trường doanh nghiệp.

Các vụ khai thác trước đây của ScarCruft

ScarCruft có tiền sử khai thác lỗ hổng, đặc biệt là trong Scripting Engine của Internet Explorer. Trước đây, chúng có liên quan đến việc khai thác CVE-2020-1380 và CVE-2022-41128. Những lỗ hổng này, như CVE-2024-38178, cho phép thực thi mã từ xa và cũng được sử dụng để phát tán phần mềm độc hại.

Phòng thủ và khuyến nghị

Các chuyên gia an ninh mạng cảnh báo rằng các tác nhân đe dọa từ Triều Tiên đã trở nên tinh vi hơn trong những năm gần đây. Hiện tại, chúng đang nhắm vào nhiều lỗ hổng hơn, không chỉ trong Internet Explorer mà còn trên nhiều hệ thống phần mềm khác nhau.

Để bảo vệ chống lại các cuộc tấn công tương tự, các tổ chức và cá nhân nên:

• Cập nhật hệ điều hành và phần mềm thường xuyên.
• Cài đặt bản vá bảo mật mới nhất.
• Hãy thận trọng khi nhấp vào URL, đặc biệt là trong các quảng cáo bật lên.

Bằng cách cập nhật hệ thống và nhận biết các liên kết đáng ngờ, người dùng có thể giảm thiểu rủi ro do các nhóm như ScarCruft gây ra.