北韓網路組織利用 Windows 零日漏洞傳播 RokRAT 惡意軟體

在新一波網路攻擊中，北韓駭客組織 ScarCruft 與利用Windows 中的零日漏洞有關。此缺陷允許攻擊者傳播名為RokRAT 的危險惡意軟體。儘管已修補，但漏洞（編號為 CVE-2024-38178）仍暴露了在 Internet Explorer 模式下使用 Microsoft Edge 瀏覽器的系統。

漏洞：CVE-2024-38178

CVE-2024-38178漏洞是Internet Explorer模式腳本引擎中的記憶體損壞問題。 CVSS 評分為 7.5，有嚴重的安全風險。如果被利用，該缺陷可以在受感染的機器上遠端執行程式碼。這需要攻擊者誘騙使用者點擊惡意 URL。一旦執行此操作，惡意程式碼就會執行，從而使系統容易受到攻擊。

Microsoft 在 2024 年 8 月修補程式星期二更新中解決了該缺陷。然而，在補丁發布之前，ScarCruft 成功利用該漏洞傳播惡意軟體，特別針對韓國用戶。韓國安實驗室安全情報中心 (ASEC) 和國家網路安全中心 (NCSC) 發現並報告了該漏洞。他們將該活動稱為「Toast 操作代碼」。

ScarCruft 的攻擊策略

ScarCruft 也被稱為 APT37、RedEyes 和 InkySquid 等其他別名，因利用過時或不受支援的軟體中的漏洞而臭名昭著。這次，他們的策略涉及韓國常用的吐司廣告節目。這些「吐司」廣告是指出現在螢幕右下角的彈出式通知。

在本例中，攻擊者入侵了一家國內廣告公司的伺服器。他們將漏洞利用程式碼注入到為 Toast 廣告提供支援的腳本中，然後該腳本下載並呈現誘殺內容。該內容觸發了該漏洞，特別是針對 Internet Explorer 的 JavaScript 引擎 (jscript9.dll)。

RokRAT 惡意軟體的作用

一旦漏洞被利用，ScarCruft 就會在受感染的電腦上安裝 RokRAT 惡意軟體。 RokRAT 是一種多功能且危險的惡意軟體，能夠執行多種操作：

RokRAT 值得注意的方面之一是它使用 Dropbox、Google Cloud 和 Yandex Cloud 等合法雲端服務作為命令和控制 (C2) 伺服器。這使得惡意軟體能夠與正常網路流量混合，從而難以在企業環境中偵測到。

ScarCruft 之前的攻擊

ScarCruft 有著利用漏洞的歷史，特別是在 Internet Explorer 的腳本引擎中。過去，它們與 CVE-2020-1380 和 CVE-2022-41128 的利用有關。這些漏洞（例如 CVE-2024-38178）允許遠端執行程式碼，並且類似地用於傳播惡意軟體。

辯護和建議

網路安全專家警告說，北韓威脅者近年來變得更加老練。他們現在的目標是更廣泛的漏洞，不僅是 Internet Explorer 中的漏洞，還包括各種軟體系統中的漏洞。

為了防止類似的攻擊，組織和個人應該：

• 定期更新作業系統和軟體。
• 安裝最新的安全性修補程式。
• 點擊網址時請務必小心，尤其是在彈出廣告中。

透過保持系統更新並了解可疑鏈接，使用者可以減輕 ScarCruft 等組織帶來的風險。