Coreia do Norte explora Dia Zero do windows para espalhar malware RokRAT
Ameaças da Coreia do Norte conhecido como ScarCruft foi associado à exploração de dia zero de uma falha de segurança agora corrigida no Windows para infectar dispositivos com malware conhecido como RokRAT.
A vulnerabilidade em questão é CVE-2024-38178 (CVSS score: 7.5), um bug de corrupção de memória no Scripting Engine que pode resultar na execução remota de código ao usar o navegador Edge no Modo Internet Explorer. Foi remendado pela Microsoft como parte de suas atualizações do Patch Tuesday para agosto de 2024.
No entanto, a exploração bem-sucedida exige que um invasor convença um usuário a clicar em um URL especialmente criado para iniciar a execução de código malicioso.
O Centro de Inteligência de Segurança AhnLab (ASEC) e o Centro Nacional de Segurança Cibernética (NCSC) da República da Coréia, que foram creditados com a descoberta e relatórios da falha, têm atribuído a atividade agrupa o nome Código de Operação no Toast.
As organizações estão rastreando o ScarCruft sob o apelido TA-RedAnt, que anteriormente era conhecido como RedEyes. Também é conhecido na comunidade de segurança cibernética mais ampla sob os nomes APT37, InkySquid, Reaper, Ricochet Chollima e Ruby Sleet.
O ataque de dia zero é “caracterizado pela exploração de um programa de publicidade ‘torrada’ específico que é comumente empacotado com vários softwares livres”, disse a ASEC em um comunicado compartilhado com o The Hacker News. “‘Toast’ ads, na Coréia, refere-se a notificações pop-up que aparecem na parte inferior da tela do PC, normalmente no canto inferior direito.”
A cadeia de ataques documentada pela empresa de segurança cibernética da Coreia do Sul mostra que os agentes de ameaças comprometeram o servidor de uma agência de publicidade doméstica sem nome que fornece conteúdo para os anúncios de brinde com o objetivo de injetar código de exploração no script do conteúdo do anúncio.
Diz-se que a vulnerabilidade foi acionada quando o programa toast baixa e renderiza o conteúdo com armadilha do servidor.
“O invasor teve como alvo um programa toast específico que utiliza um módulo [Internet Explorer] não suportado para baixar conteúdo publicitário, disseram a ASEC e a NCSC em um relatório conjunto de análise de ameaças.
“Esta vulnerabilidade faz com que o JavaScript Engine do IE (jscript9.dll) interprete incorretamente os tipos de dados, resultando em um erro de confusão de tipos. O invasor explorou esta vulnerabilidade para infectar PCs com o programa toast vulnerável instalado. Uma vez infectados, os PCs eram submetidos a várias atividades maliciosas, incluindo acesso remoto.”
A versão mais recente do RokRAT é capaz de enumerar arquivos, encerrar processos arbitrários, receber e executar comandos recebidos de um servidor remoto e coletar dados de vários aplicativos, como KakaoTalk, WeChat e navegadores como Chrome, Edge, Opera, Naver Wales e Firefox.
O RokRAT também é notável por usar serviços de nuvem legítimos como Dropbox, Google Cloud, pCloud e Yandex Cloud como seu servidor de comando e controle, permitindo assim que ele se misture ao tráfego regular em ambientes corporativos.
Esta não é a primeira vez que o ScarCruft usa vulnerabilidades no navegador legado como arma para entregar malware subsequente. Nos últimos anos, isso foi atribuído à exploração de CVE-2020-1380 , outra falha de corrupção de memória no Scripting Engine, e CVE-2022-41128 , uma vulnerabilidade de execução remota de código nas Linguagens de Script do Windows.
“O nível tecnológico das organizações de hackers norte-coreanas se tornou mais avançado, e elas estão explorando várias vulnerabilidades além do [Internet Explorer]”, disse o relatório. “Consequentemente, os usuários devem atualizar seus sistemas operacionais e a segurança do software.”
Fonte: thehackernews.com
