Группировка ScarCruft эксплуатирует 0-day уязвимость в IE для распространения вредоносного ПО

CyberSecureFox 🦊

Специалисты по кибербезопасности обнаружили масштабную атаку, проведенную северокорейской хакерской группировкой ScarCruft в мае 2024 года. Злоумышленники использовали ранее неизвестную уязвимость в Internet Explorer для заражения целевых компьютеров вредоносным ПО RokRAT и последующего хищения конфиденциальных данных. Об этом сообщили эксперты Национального центра кибербезопасности Южной Кореи (NCSC) и компании AhnLab (ASEC).

Особенности атаки и используемые методы

Группировка ScarCruft, также известная как APT37, InkySquid и RedEyes, специализируется на кибершпионаже и регулярно атакует системы в Южной Корее и странах Европы. В своем арсенале хакеры используют различные техники, включая фишинг, атаки типа watering hole и эксплуатацию уязвимостей нулевого дня.

Недавняя кампания, получившая название Code on Toast, отличается использованием рекламных всплывающих toast-уведомлений для проведения zero-click атак. Эти уведомления представляют собой небольшие окна, появляющиеся в углу экрана для отображения различных сообщений или рекламы.

Эксплуатация уязвимости CVE-2024-38178

Ключевым элементом атаки стала эксплуатация уязвимости CVE-2024-38178 в Internet Explorer. Этот баг типа type confusion позволил злоумышленникам выполнить удаленный код на целевых машинах. Примечательно, что эксплоит ScarCruft очень похож на тот, который использовался ранее для эксплуатации уязвимости CVE-2022-41128, с добавлением лишь трех строк кода для обхода предыдущих исправлений Microsoft.

Механизм заражения и распространения малвари

По данным AhnLab, атакующие скомпрометировали сервер рекламного агентства для распространения вредоносной toast-рекламы через популярное в Южной Корее бесплатное ПО. Это программное обеспечение использовало устаревший модуль IE для загрузки рекламного контента, что и позволило хакерам провести атаку.

Вредоносные рекламные объявления содержали iframe, который при рендеринге в Internet Explorer вызывал JavaScript-файл ad_toast. Этот скрипт эксплуатировал уязвимость CVE-2024-38178 в файле JScript9.dll браузера, что приводило к заражению машины жертвы трояном RokRAT.

Функциональность RokRAT

RokRAT — это многофункциональное вредоносное ПО, которое ScarCruft использует уже несколько лет. Его основные возможности включают:

  • Кражу файлов с определенными расширениями (.doc, .mdb, .xls, .ppt, .txt, .amr и др.)
  • Кейлоггинг и мониторинг буфера обмена
  • Создание скриншотов каждые три минуты
  • Управление процессами на зараженной машине
  • Выполнение команд от операторов
  • Сбор данных из различных приложений (KakaoTalk, WeChat) и браузеров

Последствия и рекомендации по защите

Несмотря на то, что Microsoft официально прекратила поддержку Internet Explorer в середине 2022 года, многие компоненты браузера все еще используются в Windows и стороннем ПО. Это создает потенциальные векторы атак для киберпреступников.

Хотя уязвимость CVE-2024-38178 была устранена Microsoft в августе 2024 года, это не гарантирует немедленного внедрения патча в программное обеспечение, использующее устаревшие компоненты IE. Пользователи могут даже не подозревать о наличии таких компонентов в используемом ими ПО.

Для минимизации рисков специалисты рекомендуют регулярно обновлять все программное обеспечение, использовать современные браузеры и средства защиты, а также проявлять осторожность при работе с рекламным контентом и всплывающими уведомлениями. Организациям следует провести аудит используемого ПО на предмет наличия устаревших компонентов Internet Explorer и по возможности отказаться от их использования.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.