RokRAT: старый IE в очередной раз стал лазейкой для вируса

RokRAT: старый IE в очередной раз стал лазейкой для вируса

Как северокорейские хакеры маскируют вредоносный код под обычные уведомления.

image

Группа ScarCruft из Северной Кореи вновь использовала уязвимость в Windows для распространения вредоносного программного обеспечения RokRAT. Эксплуатация затрагивает уязвимость CVE-2024-38178 с рейтингом CVSS 7.5, связанную с повреждением памяти в Scripting Engine, что позволяет выполнять удалённый код через Edge в режиме Internet Explorer.

Microsoft выпустила исправление для этой проблемы в рамках обновлений Patch Tuesday в августе 2024 года, однако хакеры не сбавляют темп и активно атакуют необновлённые системы.

Для активации атаки злоумышленникам необходимо убедить жертву перейти по специально подготовленной ссылке. Исследователи из ASEC и Национального центра кибербезопасности Южной Кореи (NCSC) назвали кампанию «Операция Code on Toast». В международной среде группа ScarCruft также известна как TA-RedAnt, APT37, InkySquid, Reaper, Ricochet Chollima и Ruby Sleet.

Особенностью этой атаки стало использование рекламной программы «toast» — уведомлений, которые появляются в нижней части экрана. Атакующие взломали сервер неназванного рекламного агентства, предоставляющего контент для таких уведомлений, и внедрили в скрипт рекламы вредоносный код.

Уязвимость активировалась при загрузке вредоносного содержимого через «toast», использующего устаревший модуль Internet Explorer. Это вызвало ошибку интерпретации типов в JavaScript Engine (jscript9.dll), что позволило атакующим проникнуть в системы с установленной уязвимой программой и получить удалённый доступ.

Обновлённая версия RokRAT способна управлять файлами, завершать процессы, выполнять команды с удалённого сервера и собирать данные из популярных приложений, таких как KakaoTalk и WeChat, а также из браузеров Chrome, Edge, Opera, Firefox и других. Для управления атаками RokRAT использует легитимные облачные сервисы, включая Dropbox, Google Cloud и Yandex Cloud, чтобы маскировать свою активность.

Группа ScarCruft уже не впервые эксплуатирует уязвимости в Internet Explorer. В прошлом ей приписывали атаки с использованием CVE-2020-1380 и CVE-2022-41128. Эксперты подчёркивают, что хакеры из Северной Кореи продолжают совершенствовать свои методы и применять различные уязвимости. Рекомендуется регулярно обновлять операционные системы и программы для защиты от подобных атак.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь