У травні 2024 року експерти з кібербезпеки виявили масштабну атаку, здійснену північнокорейською хакерською групою ScarCruft. Зловмисники використали раніше невідому уразливість в Internet Explorer для зараження цільових комп’ютерів шкідливим програмним забезпеченням RokRAT та подальшого викрадення конфіденційних даних. Про це повідомили фахівці Національного центру кібербезпеки Південної Кореї (NCSC) та компанії AhnLab (ASEC).
Особливості атаки та використані методи
Група ScarCruft, також відома як APT37, InkySquid та RedEyes, спеціалізується на кібершпигунстві та регулярно атакує системи в Південній Кореї та країнах Європи. У своєму арсеналі хакери використовують різноманітні техніки, включаючи фішинг, атаки типу watering hole та експлуатацію уразливостей нульового дня.
Нещодавня кампанія, названа Code on Toast, відрізняється використанням рекламних спливаючих toast-повідомлень для проведення zero-click атак. Ці повідомлення являють собою невеликі вікна, що з’являються в куті екрана для відображення різних сповіщень або реклами.
Експлуатація уразливості CVE-2024-38178
Ключовим елементом атаки стала експлуатація уразливості CVE-2024-38178 в Internet Explorer. Ця вразливість типу type confusion дозволила зловмисникам виконати віддалений код на цільових машинах. Варто зазначити, що експлойт ScarCruft дуже схожий на той, що використовувався раніше для експлуатації уразливості CVE-2022-41128, з додаванням лише трьох рядків коду для обходу попередніх виправлень Microsoft.
Механізм зараження та розповсюдження шкідливого ПЗ
За даними AhnLab, атакуючі скомпрометували сервер рекламного агентства для розповсюдження шкідливої toast-реклами через популярне в Південній Кореї безкоштовне ПЗ. Це програмне забезпечення використовувало застарілий модуль IE для завантаження рекламного контенту, що і дозволило хакерам провести атаку.
Шкідливі рекламні оголошення містили iframe, який при рендерингу в Internet Explorer викликав JavaScript-файл ad_toast. Цей скрипт експлуатував уразливість CVE-2024-38178 у файлі JScript9.dll браузера, що призводило до зараження машини жертви трояном RokRAT.
Функціональність RokRAT
RokRAT – це багатофункціональне шкідливе ПЗ, яке ScarCruft використовує вже кілька років. Його основні можливості включають:
- Викрадення файлів з певними розширеннями (.doc, .mdb, .xls, .ppt, .txt, .amr та ін.)
- Кейлоггінг та моніторинг буфера обміну
- Створення скріншотів кожні три хвилини
- Управління процесами на зараженій машині
- Виконання команд від операторів
- Збір даних з різних додатків (KakaoTalk, WeChat) та браузерів
Наслідки та рекомендації щодо захисту
Незважаючи на те, що Microsoft офіційно припинила підтримку Internet Explorer в середині 2022 року, багато компонентів браузера все ще використовуються в Windows та сторонньому ПЗ. Це створює потенційні вектори атак для кіберзлочинців.
Хоча уразливість CVE-2024-38178 була усунена Microsoft у серпні 2024 року, це не гарантує негайного впровадження патча в програмне забезпечення, що використовує застарілі компоненти IE. Користувачі можуть навіть не підозрювати про наявність таких компонентів у використовуваному ними ПЗ.
Для мінімізації ризиків фахівці рекомендують регулярно оновлювати все програмне забезпечення, використовувати сучасні браузери та засоби захисту, а також проявляти обережність при роботі з рекламним контентом та спливаючими повідомленнями. Організаціям слід провести аудит використовуваного ПЗ на предмет наявності застарілих компонентів Internet Explorer та за можливості відмовитися від їх використання. Впровадження багаторівневої системи захисту, включаючи сучасні антивірусні рішення, файрволи нового покоління та системи виявлення та запобігання вторгнень (IDS/IPS), допоможе значно підвищити рівень кібербезпеки та знизити ризик успішних атак.
