Im Mai 2024 haben Cybersicherheitsexperten eine großangelegte Attacke der nordkoreanischen Hackergruppe ScarCruft aufgedeckt. Die Angreifer nutzten eine bis dahin unbekannte Schwachstelle im Internet Explorer, um Zielcomputer mit der Schadsoftware RokRAT zu infizieren und vertrauliche Daten zu stehlen. Dies geht aus Berichten des südkoreanischen National Cyber Security Center (NCSC) und des Sicherheitsunternehmens AhnLab (ASEC) hervor.
Charakteristika und Methoden des Angriffs
ScarCruft, auch bekannt als APT37, InkySquid oder RedEyes, ist eine auf Cyberspionage spezialisierte Gruppe, die regelmäßig Systeme in Südkorea und europäischen Ländern angreift. Ihr Arsenal umfasst verschiedene Techniken wie Phishing, Watering-Hole-Angriffe und die Ausnutzung von Zero-Day-Schwachstellen. Die jüngste Kampagne, genannt „Code on Toast“, zeichnet sich durch die Verwendung von Werbe-Pop-ups (Toast-Benachrichtigungen) für Zero-Click-Angriffe aus.
Ausnutzung der Schwachstelle CVE-2024-38178
Kernstück des Angriffs war die Ausnutzung der Schwachstelle CVE-2024-38178 im Internet Explorer. Dieser Typ-Confusion-Bug ermöglichte es den Angreifern, beliebigen Code auf den Zielrechnern auszuführen. Bemerkenswert ist, dass der von ScarCruft verwendete Exploit große Ähnlichkeit mit einem früheren Exploit für die Schwachstelle CVE-2022-41128 aufweist, wobei lediglich drei Codezeilen hinzugefügt wurden, um frühere Microsoft-Patches zu umgehen.
Infektionsmechanismus und Malware-Verbreitung
Laut AhnLab kompromittierten die Angreifer den Server einer Werbeagentur, um bösartige Toast-Werbung über eine in Südkorea beliebte Freeware zu verbreiten. Diese Software verwendete ein veraltetes IE-Modul zum Laden von Werbeinhalten, was den Hackern den Angriff ermöglichte. Die schädlichen Werbeanzeigen enthielten einen iframe, der beim Rendern in Internet Explorer eine JavaScript-Datei namens ad_toast aufrief. Dieses Skript nutzte die Schwachstelle CVE-2024-38178 in der JScript9.dll-Datei des Browsers aus, was zur Infektion des Opferrechners mit dem Trojaner RokRAT führte.
Funktionalität von RokRAT
RokRAT ist eine multifunktionale Malware, die ScarCruft seit Jahren einsetzt. Zu den Hauptfunktionen gehören:
- Diebstahl von Dateien mit bestimmten Erweiterungen (.doc, .mdb, .xls, .ppt, .txt, .amr usw.)
- Keylogging und Überwachung der Zwischenablage
- Erstellung von Screenshots alle drei Minuten
- Verwaltung von Prozessen auf dem infizierten Rechner
- Ausführung von Befehlen der Angreifer
- Sammeln von Daten aus verschiedenen Anwendungen (KakaoTalk, WeChat) und Browsern
Auswirkungen und Schutzempfehlungen
Obwohl Microsoft den Support für Internet Explorer Mitte 2022 offiziell eingestellt hat, werden viele Komponenten des Browsers weiterhin in Windows und Drittanbieter-Software verwendet. Dies schafft potenzielle Angriffsvektoren für Cyberkriminelle. Die Schwachstelle CVE-2024-38178 wurde von Microsoft im August 2024 behoben, jedoch garantiert dies keine sofortige Integration des Patches in Software, die veraltete IE-Komponenten verwendet. Benutzer sind sich möglicherweise nicht einmal bewusst, dass solche Komponenten in ihrer Software vorhanden sind.
Um die Risiken zu minimieren, empfehlen Experten, alle Software regelmäßig zu aktualisieren, moderne Browser und Schutzmaßnahmen zu verwenden sowie bei der Arbeit mit Werbeinhalten und Pop-up-Benachrichtigungen Vorsicht walten zu lassen. Organisationen sollten ihre verwendete Software auf veraltete Internet Explorer-Komponenten prüfen und deren Nutzung nach Möglichkeit einstellen. Die Implementierung eines mehrschichtigen Sicherheitsansatzes, einschließlich Endpunktschutz, Netzwerksegmentierung und Mitarbeiterschulungen, ist entscheidend, um sich vor solch ausgeklügelten Angriffen zu schützen. Kontinuierliche Wachsamkeit und proaktive Sicherheitsmaßnahmen bleiben der Schlüssel zur Abwehr moderner Cyberbedrohungen wie der von ScarCruft.
