O ator de ameaça norte-coreano conhecido como ScarCruft foi vinculado à exploração de um zero-day agora corrigido em uma falha de segurança do Windows para infectar dispositivos com malware conhecido como RokRAT.
A vulnerabilidade em questão é a
CVE-2024-38178
(pontuação CVSS: 7.5), um bug de corrupção de memória no Scripting Engine que poderia resultar na execução remota de código ao usar o navegador Edge no Modo Internet Explorer.
Ela foi corrigida pela Microsoft como parte de suas atualizações de Patch Tuesday para agosto de 2024.
Entretanto, a exploração bem-sucedida requer que um atacante convença um usuário a clicar em uma URL especialmente criada para iniciar a execução do código malicioso.
O AhnLab Security Intelligence Center (ASEC) e o National Cyber Security Center (NCSC) da República da Coreia, que receberam créditos pela descoberta e relatório da falha, nomearam o cluster de atividades como Operation Code on Toast.
As organizações estão rastreando o ScarCruft sob o codinome TA-RedAnt, anteriormente referido como RedEyes.
Ele também é conhecido na comunidade de cibersegurança mais ampla sob os nomes APT37, InkySquid, Reaper, Ricochet Chollima e Ruby Sleet.
O ataque zero-day é "caracterizado pela exploração de um específico programa de anúncio 'toast' que é comumente empacotado com vários softwares gratuitos", disse o ASEC em um comunicado compartilhado.
Anúncios 'toast', na Coreia, referem-se a notificações pop-up que aparecem na parte inferior da tela do PC, tipicamente no canto inferior direito. A cadeia de ataque documentada pela empresa de cibersegurança da Coreia do Sul mostra que os atores de ameaças comprometeram o servidor de uma agência de publicidade doméstica não nomeada que fornece conteúdo para os anúncios toast com o objetivo de injetar código de exploração no script do conteúdo do anúncio.
A vulnerabilidade teria sido acionada quando o programa toast baixa e renderiza o conteúdo armadilhado do servidor.
"O atacante visou um programa toast específico que utiliza um módulo [Internet Explorer] não suportado para baixar conteúdo de publicidade", disseram o ASEC e o NCSC em um relatório de análise de ameaça conjunto.
Esta vulnerabilidade faz com que o JavaScript Engine do IE (jscript9.dll) interprete incorretamente os tipos de dados, resultando em um erro de confusão de tipo.
O atacante explorou essa vulnerabilidade para infectar PCs com o programa toast vulnerável instalado.
Uma vez infectados, os PCs foram submetidos a várias atividades maliciosas, incluindo acesso remoto. A última versão do RokRAT é capaz de enumerar arquivos, terminar processos arbitrários, receber e executar comandos recebidos de um servidor remoto e coletar dados de várias aplicações como KakaoTalk, WeChat e navegadores como Chrome, Edge, Opera, Naver Wales e Firefox.
O RokRAT também é notável por usar serviços legítimos de nuvem como Dropbox, Google Cloud, pCloud e Yandex Cloud como seu servidor de comando e controle, permitindo assim que se misture com o tráfego regular em ambientes empresariais.
Esta não é a primeira vez que o ScarCruft arma vulnerabilidades no navegador legado para entregar malware subsequente.
Nos últimos anos, tem sido atribuído à exploração da
CVE-2020-1380
, outra falha de corrupção de memória no Scripting Engine, e
CVE-2022-41128
, uma vulnerabilidade de execução remota de código em Linguagens de Scripting do Windows.
"O nível tecnológico das organizações de hacking norte-coreanas tornou-se mais avançado, e eles estão explorando várias vulnerabilidades além do [Internet Explorer]", disse o relatório.
Assim, os usuários devem atualizar seu sistema operacional e a segurança do software.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...