Специалисты по кибербезопасности обнаружили масштабную атаку, проведенную северокорейской хакерской группировкой ScarCruft в мае 2024 года. Злоумышленники использовали ранее неизвестную уязвимость в Internet Explorer для заражения целевых компьютеров вредоносным ПО RokRAT и последующего хищения конфиденциальных данных. Об этом сообщили эксперты Национального центра кибербезопасности Южной Кореи (NCSC) и компании AhnLab (ASEC).
Особенности атаки и используемые методы
Группировка ScarCruft, также известная как APT37, InkySquid и RedEyes, специализируется на кибершпионаже и регулярно атакует системы в Южной Корее и странах Европы. В своем арсенале хакеры используют различные техники, включая фишинг, атаки типа watering hole и эксплуатацию уязвимостей нулевого дня.
Недавняя кампания, получившая название Code on Toast, отличается использованием рекламных всплывающих toast-уведомлений для проведения zero-click атак. Эти уведомления представляют собой небольшие окна, появляющиеся в углу экрана для отображения различных сообщений или рекламы.
Эксплуатация уязвимости CVE-2024-38178
Ключевым элементом атаки стала эксплуатация уязвимости CVE-2024-38178 в Internet Explorer. Этот баг типа type confusion позволил злоумышленникам выполнить удаленный код на целевых машинах. Примечательно, что эксплоит ScarCruft очень похож на тот, который использовался ранее для эксплуатации уязвимости CVE-2022-41128, с добавлением лишь трех строк кода для обхода предыдущих исправлений Microsoft.
Механизм заражения и распространения малвари
По данным AhnLab, атакующие скомпрометировали сервер рекламного агентства для распространения вредоносной toast-рекламы через популярное в Южной Корее бесплатное ПО. Это программное обеспечение использовало устаревший модуль IE для загрузки рекламного контента, что и позволило хакерам провести атаку.
Вредоносные рекламные объявления содержали iframe, который при рендеринге в Internet Explorer вызывал JavaScript-файл ad_toast. Этот скрипт эксплуатировал уязвимость CVE-2024-38178 в файле JScript9.dll браузера, что приводило к заражению машины жертвы трояном RokRAT.
Функциональность RokRAT
RokRAT — это многофункциональное вредоносное ПО, которое ScarCruft использует уже несколько лет. Его основные возможности включают:
- Кражу файлов с определенными расширениями (.doc, .mdb, .xls, .ppt, .txt, .amr и др.)
- Кейлоггинг и мониторинг буфера обмена
- Создание скриншотов каждые три минуты
- Управление процессами на зараженной машине
- Выполнение команд от операторов
- Сбор данных из различных приложений (KakaoTalk, WeChat) и браузеров
Последствия и рекомендации по защите
Несмотря на то, что Microsoft официально прекратила поддержку Internet Explorer в середине 2022 года, многие компоненты браузера все еще используются в Windows и стороннем ПО. Это создает потенциальные векторы атак для киберпреступников.
Хотя уязвимость CVE-2024-38178 была устранена Microsoft в августе 2024 года, это не гарантирует немедленного внедрения патча в программное обеспечение, использующее устаревшие компоненты IE. Пользователи могут даже не подозревать о наличии таких компонентов в используемом ими ПО.
Для минимизации рисков специалисты рекомендуют регулярно обновлять все программное обеспечение, использовать современные браузеры и средства защиты, а также проявлять осторожность при работе с рекламным контентом и всплывающими уведомлениями. Организациям следует провести аудит используемого ПО на предмет наличия устаревших компонентов Internet Explorer и по возможности отказаться от их использования.