Η βορειοκορεατική ομάδα hacking ScarCruft εξαπέλυσε μια επίθεση μεγάλης κλίμακας τον Μάιο που αξιοποίησε ένα ελάττωμα zero-day του Internet Explorer για να μολύνει στόχους με το κακόβουλο λογισμικό RokRAT και να εκμεταλλεύεται δεδομένα.
Το ScarCruft (γνωστός και ως “APT37” ή “RedEyes”) είναι ένας κρατικός φορέας απειλών κυβερνοκατασκοπείας, γνωστός για τη στόχευση συστημάτων στη Νότια Κορέα και την Ευρώπη, καθώς και Βορειοκορεάτες ακτιβιστές ανθρωπίνων δικαιωμάτων και αποστάτες, χρησιμοποιώντας phishing, watering hole και Διαδίκτυο Εξερεύνηση μηδέν ημερών.
Ένα νέο κοινή έκθεση από το Εθνικό Κέντρο Κυβερνοασφάλειας της Νότιας Κορέας (NCSC) και το AhnLab (ASEC) περιγράφει μια πρόσφατη καμπάνια ScarCruft με την ονομασία “Code on Toast”, η οποία αξιοποίησε αναδυόμενες διαφημίσεις τοστ για να πραγματοποιήσει μολύνσεις κακόβουλου λογισμικού με μηδενικό κλικ.
Το ελάττωμα που χρησιμοποιείται στις επιθέσεις zero-day παρακολουθείται ως CVE-2024-38178 και είναι ένα ελάττωμα σύγχυσης υψηλής σοβαρότητας στον Internet Explorer.
Η ASEC και η NCSC, ανταποκρινόμενες στην καμπάνια, ενημέρωσαν αμέσως τη Microsoft και ο τεχνολογικός γίγαντας κυκλοφόρησε μια ενημέρωση ασφαλείας για τη διεύθυνση CVE-2024-39178 τον Αύγουστο του 2024.
Είναι ενδιαφέρον ότι οι ερευνητές διαπίστωσαν ότι το exploit του ScarCruft ήταν πολύ παρόμοιο με αυτό που χρησιμοποιούσαν στο παρελθόν για το CVE-2022-41128, με τη μόνη προσθήκη να είναι τρεις γραμμές κώδικα που σχεδιάστηκαν για να παρακάμψουν τις προηγούμενες επιδιορθώσεις της Microsoft.
Από “διαφημίσεις τοστ” έως κακόβουλο λογισμικό
Οι ειδοποιήσεις τοστ είναι αναδυόμενα παράθυρα που εμφανίζονται στη γωνία του λογισμικού, όπως προγράμματα προστασίας από ιούς ή δωρεάν βοηθητικά προγράμματα για την εμφάνιση ειδοποιήσεων, ειδοποιήσεων ή διαφημίσεων.
Σύμφωνα με το AhnLab, το APT37 παραβίασε έναν από τους διακομιστές μιας εγχώριας διαφημιστικής εταιρείας για να προωθήσει ειδικά κατασκευασμένες «διαφημίσεις τοστ» σε ένα ανώνυμο δωρεάν λογισμικό που χρησιμοποιείται από μεγάλο αριθμό Νοτιοκορεατών.
Αυτές οι διαφημίσεις περιλάμβαναν ένα κακόβουλο iframe το οποίο, όταν αποδόθηκε από τον Internet Explorer, προκάλεσε ένα αρχείο JavaScript με το όνομα “ad_toast” για να ενεργοποιήσει την απομακρυσμένη εκτέλεση κώδικα μέσω του ελαττώματος CVE-2024-39178 στο αρχείο JScript9.dll του Internet Explorer (μηχανή Chakra).
Το κακόβουλο λογισμικό που απορρίφθηκε σε αυτήν την επίθεση είναι μια παραλλαγή του RokRAT, το οποίο η ScarCruft χρησιμοποιεί σε επιθέσεις εδώ και αρκετά χρόνια.
Ο πρωταρχικός ρόλος του RokRAT είναι να εξάγει αρχεία που αντιστοιχούν σε 20 επεκτάσεις (συμπεριλαμβανομένων .doc, .mdb, .xls, .ppt, .txt, .amr) σε μια παρουσία του Yandex cloud κάθε 30 λεπτά.
Το κακόβουλο λογισμικό εκτελεί επίσης καταγραφή πλήκτρων, παρακολουθεί τις αλλαγές στο πρόχειρο και καταγράφει στιγμιότυπα οθόνης (κάθε 3 λεπτά).
Πηγή: ASEC
Η μόλυνση πραγματοποιείται μέσω μιας διαδικασίας τεσσάρων βημάτων όπου ίσος αριθμός ωφέλιμων φορτίων εγχέεται στη διαδικασία ‘explorer.exe’, αποφεύγοντας τον εντοπισμό από τα εργαλεία ασφαλείας.
Εάν εντοπιστεί προστασία από ιούς Avast ή Symantec στον κεντρικό υπολογιστή, το κακόβουλο λογισμικό εγχέεται σε ένα τυχαίο εκτελέσιμο αρχείο από το φάκελο C:\Windows\system32.
Η επιμονή επιτυγχάνεται προσθέτοντας ένα τελικό ωφέλιμο φορτίο (‘rubyw.exe’) στην εκκίνηση των Windows και καταχωρώντας το για εκτέλεση στον προγραμματιστή του συστήματος κάθε τέσσερα λεπτά.
Παρά τη Microsoft ανακοινώνει την απόσυρση του Internet Explorer στα μέσα του 2022, πολλά από τα στοιχεία του προγράμματος περιήγησης παραμένουν στα Windows ή χρησιμοποιούνται από λογισμικό τρίτων, επιτρέποντας στους φορείς απειλών να ανακαλύψουν νέα τρωτά σημεία για χρήση σε επιθέσεις.
Αυτό μπορεί να συμβαίνει χωρίς καν να συνειδητοποιούν οι χρήστες ότι χρησιμοποιούν απαρχαιωμένο λογισμικό που μπορεί εύκολα να αξιοποιηθεί για επιθέσεις μηδενικού κλικ, θέτοντας το έδαφος για μαζική εκμετάλλευση από έμπειρους παράγοντες απειλών.
Αυτό που το κάνει χειρότερο είναι ότι παρόλο που η Microsoft διόρθωσε αυτό το συγκεκριμένο ελάττωμα του Internet Explorer τον Αύγουστο, δεν εγγυάται ότι θα υιοθετηθεί αμέσως από εργαλεία που χρησιμοποιούν παλαιότερα στοιχεία. Επομένως, το δωρεάν λογισμικό που χρησιμοποιεί ξεπερασμένα στοιχεία του Internet Explorer συνεχίζει να θέτει τους χρήστες σε κίνδυνο.
Η BleepingComputer ρώτησε την ASEC σχετικά με τον αριθμό των επηρεαζόμενων χρηστών και το όνομα του ελεύθερου λογισμικού που έγινε αντικείμενο εκμετάλλευσης και θα σας ενημερώσουμε με περισσότερες πληροφορίες μόλις είναι διαθέσιμες.
VIA: bleepingcomputer.com
