Как северокорейские хакеры маскируют вредоносный код под обычные уведомления.
Группа ScarCruft из Северной Кореи вновь использовала уязвимость в Windows для распространения вредоносного программного обеспечения RokRAT. Эксплуатация затрагивает уязвимость CVE-2024-38178 с рейтингом CVSS 7.5, связанную с повреждением памяти в Scripting Engine, что позволяет выполнять удалённый код через Edge в режиме Internet Explorer.
Microsoft выпустила исправление для этой проблемы в рамках обновлений Patch Tuesday в августе 2024 года, однако хакеры не сбавляют темп и активно атакуют необновлённые системы.
Для активации атаки злоумышленникам необходимо убедить жертву перейти по специально подготовленной ссылке. Исследователи из ASEC и Национального центра кибербезопасности Южной Кореи (NCSC) назвали кампанию «Операция Code on Toast». В международной среде группа ScarCruft также известна как TA-RedAnt, APT37, InkySquid, Reaper, Ricochet Chollima и Ruby Sleet.
Особенностью этой атаки стало использование рекламной программы «toast» — уведомлений, которые появляются в нижней части экрана. Атакующие взломали сервер неназванного рекламного агентства, предоставляющего контент для таких уведомлений, и внедрили в скрипт рекламы вредоносный код.
Уязвимость активировалась при загрузке вредоносного содержимого через «toast», использующего устаревший модуль Internet Explorer. Это вызвало ошибку интерпретации типов в JavaScript Engine (jscript9.dll), что позволило атакующим проникнуть в системы с установленной уязвимой программой и получить удалённый доступ.
Обновлённая версия RokRAT способна управлять файлами, завершать процессы, выполнять команды с удалённого сервера и собирать данные из популярных приложений, таких как KakaoTalk и WeChat, а также из браузеров Chrome, Edge, Opera, Firefox и других. Для управления атаками RokRAT использует легитимные облачные сервисы, включая Dropbox, Google Cloud и Yandex Cloud, чтобы маскировать свою активность.
Группа ScarCruft уже не впервые эксплуатирует уязвимости в Internet Explorer. В прошлом ей приписывали атаки с использованием CVE-2020-1380 и CVE-2022-41128. Эксперты подчёркивают, что хакеры из Северной Кореи продолжают совершенствовать свои методы и применять различные уязвимости. Рекомендуется регулярно обновлять операционные системы и программы для защиты от подобных атак.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале