Περιεχόμενα Άρθρου
- Οι πολίτες της Νότιας Κορέας χτυπήθηκαν με κακόβουλο λογισμικό μηδενικού κλικ από τον Βορρά
- Το κακόβουλο λογισμικό χρησιμοποιούσε αναδυόμενες διαφημίσεις για την εγκατάσταση ωφέλιμων φορτίων
- Εγκαταστάθηκε επίσης Keyloggers και άλλο κακόβουλο λογισμικό παρακολούθησης
Ο βορειοκορεάτης χάκερ ScarCruft που συνδέεται με το κράτος διεξήγαγε πρόσφατα μια μεγάλης κλίμακας εκστρατεία κυβερνοκατασκοπείας χρησιμοποιώντας ένα ελάττωμα zero-day του Internet Explorer για την ανάπτυξη κακόβουλου λογισμικού RokRAT, προειδοποίησαν οι ειδικοί.
Η ομάδα, γνωστή και ως APT37 ή RedEyes, είναι μια βορειοκορεατική κρατική ομάδα hacking γνωστή για δραστηριότητες κυβερνοκατασκοπείας.
Αυτή η ομάδα εστιάζει συνήθως σε νοτιοκορεάτες ακτιβιστές ανθρωπίνων δικαιωμάτων, αποστάτες και πολιτικές οντότητες στην Ευρώπη.
Αξιοποιήθηκε το ελάττωμα Zero-Day του Internet Explorer
Με τα χρόνια, η ScarCruft έχει αναπτύξει τη φήμη για τη χρήση προηγμένων τεχνικών όπως το phishing, τις επιθέσεις που εκμεταλλεύονται τα τρωτά σημεία zero-day στο λογισμικό για να διεισδύσει σε συστήματα και να κλέψει ευαίσθητες πληροφορίες.
Η τελευταία τους καμπάνια, που ονομάστηκε “Code on Toast”, αποκαλύφθηκε σε κοινή έκθεση του Εθνικού Κέντρου Κυβερνοασφάλειας της Νότιας Κορέας (NCSC) και της AhnLab (ASEC). Αυτή η καμπάνια χρησιμοποίησε μια μοναδική μέθοδο που περιλαμβάνει αναδυόμενες διαφημίσεις τοστ για την παροχή μολύνσεων από κακόβουλο λογισμικό μηδενικού κλικ.
Η καινοτόμος πτυχή αυτής της καμπάνιας έγκειται στον τρόπο με τον οποίο η ScarCruft χρησιμοποίησε ειδοποιήσεις τοστ – μικρές αναδυόμενες διαφημίσεις που προβάλλονταν από λογισμικό προστασίας από ιούς ή δωρεάν βοηθητικά προγράμματα – για τη διάδοση του κακόβουλου λογισμικού τους.
Η ScarCruft παραβίασε τον διακομιστή μιας εγχώριας διαφημιστικής εταιρείας στη Νότια Κορέα για να προωθήσει κακόβουλες “διαφημίσεις Toast” μέσω ενός δημοφιλούς αλλά ανώνυμου δωρεάν λογισμικού που χρησιμοποιείται από πολλούς Νοτιοκορεάτες.
Αυτές οι κακόβουλες διαφημίσεις περιελάμβαναν ένα ειδικά διαμορφωμένο iframe που ενεργοποίησε ένα αρχείο JavaScript με το όνομα “ad_toast”, το οποίο εκτελούσε την εκμετάλλευση του Internet Explorer zero-day. Χρησιμοποιώντας αυτήν τη μέθοδο μηδενικού κλικ, το ScarCruft μπόρεσε να μολύνει σιωπηλά συστήματα χωρίς αλληλεπίδραση με τον χρήστη.
Η ευπάθεια υψηλής σοβαρότητας στον Internet Explorer που χρησιμοποιείται σε αυτήν την επίθεση παρακολουθείται ως CVE-2024-38178 και έχει βαθμολογηθεί με βαθμό σοβαρότητας 7,5. Το ελάττωμα υπάρχει στο αρχείο JScript9.dll του Internet Explorer, μέρος της μηχανής Chakra του, και επιτρέπει την απομακρυσμένη εκτέλεση κώδικα εάν γίνει εκμετάλλευση. Παρά την επίσημη απόσυρση του Internet Explorer το 2022, πολλά από τα στοιχεία του παραμένουν ενσωματωμένα σε Windows ή λογισμικό τρίτων, καθιστώντας τους ώριμους στόχους για εκμετάλλευση.
Η χρήση της ευπάθειας CVE-2024-38178 από την ScarCruft σε αυτήν την καμπάνια είναι ιδιαίτερα ανησυχητική επειδή μοιάζει πολύ με ένα προηγούμενο exploit που χρησιμοποίησαν το 2022 για το CVE-2022-41128. Η μόνη διαφορά στη νέα επίθεση είναι οι τρεις επιπλέον γραμμές κώδικα που έχουν σχεδιαστεί για να παρακάμπτουν τις προηγούμενες ενημερώσεις κώδικα ασφαλείας της Microsoft.
Μόλις γίνει εκμετάλλευση της ευπάθειας, το ScarCruft παραδίδει κακόβουλο λογισμικό RokRAT στα μολυσμένα συστήματα. Το RokRAT χρησιμοποιείται κυρίως για την εξαγωγή ευαίσθητων δεδομένων με αρχεία στόχευσης κακόβουλου λογισμικού με συγκεκριμένες επεκτάσεις όπως .doc, .xls, .ppt και άλλες, στέλνοντάς τα σε ένα σύννεφο Yandex κάθε 30 λεπτά. Εκτός από την εξαγωγή αρχείων, το RokRAT διαθέτει δυνατότητες επιτήρησης, όπως καταγραφή πληκτρολογίου, παρακολούθηση από το πρόχειρο και λήψη στιγμιότυπου οθόνης κάθε τρία λεπτά.
Η διαδικασία μόλυνσης αποτελείται από τέσσερα στάδια, με κάθε ωφέλιμο φορτίο να εγχέεται στη διαδικασία ‘explorer.exe’ για να αποφευχθεί ο εντοπισμός. Εάν βρεθούν στο σύστημα δημοφιλή εργαλεία προστασίας από ιούς, όπως το Avast ή η Symantec, το κακόβουλο λογισμικό εγχέεται σε ένα τυχαίο εκτελέσιμο αρχείο από το φάκελο C:\Windows\system32. Η επιμονή διατηρείται τοποθετώντας ένα τελικό ωφέλιμο φορτίο, το ‘rubyw.exe, στην εκκίνηση των Windows και προγραμματίζοντας το να εκτελείται κάθε τέσσερα λεπτά.
Μέσω BleepingComputer
Μπορεί επίσης να σας αρέσει
Greek Live Channels Όλα τα Ελληνικά κανάλια:
Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση;
Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο.
Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια
Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
