朝鲜网络组织利用 Windows 零日漏洞传播 RokRAT 恶意软件

在新一轮网络攻击中，朝鲜黑客组织 ScarCruft 涉嫌利用Windows 的零日漏洞。该漏洞允许攻击者传播一种名为RokRAT 的危险恶意软件。尽管已修补，但该漏洞（编号为 CVE-2024-38178）仍暴露了使用 Internet Explorer 模式下的 Microsoft Edge 浏览器的系统。

漏洞：CVE-2024-38178

CVE-2024-38178 漏洞是 Internet Explorer 模式脚本引擎中的一个内存损坏问题。CVSS 评分为 7.5，该漏洞构成严重安全风险。如果被利用，该漏洞可在受感染的机器上实现远程代码执行。这需要攻击者诱骗用户点击恶意 URL。一旦执行此操作，恶意代码就会执行，使系统易受攻击。

微软在 2024 年 8 月的补丁星期二更新中解决了该漏洞。然而，在补丁发布之前，ScarCruft 成功利用该漏洞传播恶意软件，专门针对韩国用户。韩国安实验室安全情报中心 (ASEC) 和国家网络安全中心 (NCSC) 发现并报告了该漏洞。他们将这次活动称为“Operation Code on Toast”。

ScarCruft 的攻击策略

ScarCruft 还以 APT37、RedEyes 和 InkySquid 等别名而闻名，因利用过时或不受支持的软件中的漏洞而臭名昭著。这次，他们的策略涉及韩国常用的 toast 广告程序。这些“toast”广告指的是出现在屏幕右下角的弹出通知。

在本案中，攻击者入侵了一家国内广告公司的服务器。他们将漏洞代码注入到驱动 toast 广告的脚本中，然后下载并呈现了陷阱内容。这些内容触发了漏洞，具体针对的是 Internet Explorer 的 JavaScript 引擎 (jscript9.dll)。

RokRAT 恶意软件的作用

一旦漏洞被利用，ScarCruft 就会在受感染的机器上安装 RokRAT 恶意软件。RokRAT 是一种多功能且危险的恶意软件，能够执行多种操作：

RokRAT 的一个显著特点是它使用 Dropbox、Google Cloud 和 Yandex Cloud 等合法云服务作为命令与控制 (C2) 服务器。这使得该恶意软件能够混入正常网络流量中，使其在企业环境中难以被发现。

ScarCruft 以前的功绩

ScarCruft 有利用漏洞的历史，尤其是 Internet Explorer 脚本引擎中的漏洞。过去，它们与 CVE-2020-1380 和 CVE-2022-41128 的利用有关。这些漏洞（如 CVE-2024-38178）允许远程代码执行，同样被用于传播恶意软件。

辩护和建议

网络安全专家警告称，近年来，朝鲜威胁行为者变得更加老练。他们现在瞄准的是更广泛的漏洞，不仅仅是 IE 中的漏洞，还包括各种软件系统中的漏洞。

为了防止类似的攻击，组织和个人应该：

• 定期更新操作系统和软件。
• 安装最新的安全补丁。
• 点击 URL 时请务必小心，尤其是弹出式广告。

通过保持系统更新并注意可疑链接，用户可以减轻 ScarCruft 等团体带来的风险。