В мае северокорейская хакерская группа ScarCruft провела масштабную атаку, в ходе которой использовала дефект нулевого дня в Internet Explorer для заражения целей вредоносным ПО RokRAT и утечки данных.
ScarCruft (также известная как «APT37» или «RedEyes») - спонсируемая государством угроза кибершпионажа, известная тем, что атаковала системы в Южной Корее и Европе, а также северокорейских правозащитников и перебежчиков, используя фишинг, «водяные дыры» и «нулевые дни» в Internet Explorer.
В новом совместном отчете Национального центра кибербезопасности Южной Кореи (NCSC) и лаборатории AhnLab (ASEC) описывается недавняя кампания ScarCruft, получившая название «Код на тосте», которая использовала всплывающую рекламу на тостах для заражения вредоносным ПО с нулевым кликом.
Дефект, используемый в атаках «нулевого дня», отслеживается как CVE-2024-38178 и является дефектом типа путаницы высокой степени серьезности в Internet Explorer.
ASEC и NCSC, отреагировав на кампанию, немедленно проинформировали Microsoft, и технологический гигант выпустил обновление безопасности для устранения CVE-2024-39178 в августе 2024 года.
Интересно, что исследователи обнаружили, что эксплойт ScarCruft был очень похож на тот, который они использовали в прошлом для CVE-2022-41128, с единственным дополнением - тремя строками кода, предназначенными для обхода предыдущих исправлений Microsoft.
Тостовые уведомления - это всплывающие окна, отображаемые в углу программ, таких как антивирусы или бесплатные утилиты, для отображения уведомлений, предупреждений или рекламы.
По данным AhnLab, APT37 скомпрометировала один из серверов отечественного рекламного агентства для размещения специально созданных «тостовых объявлений» на неназванном бесплатном программном обеспечении, используемом большим количеством жителей Южной Кореи.
Эти объявления содержали вредоносный iframe, который при отображении в Internet Explorer вызывал JavaScript-файл с именем 'ad_toast' для удаленного выполнения кода через дефект CVE-2024-39178 в файле Internet Explorer JScript9.dll (движок Chakra).
Вредоносная программа, использованная в этой атаке, представляет собой вариант RokRAT, который ScarCruft использует в атаках уже несколько лет.
Основная задача RokRAT - каждые 30 минут пересылать файлы, соответствующие 20 расширениям (включая .doc, .mdb, .xls, .ppt, .txt, .amr), в облачный инстанс «Яндекса».
Кроме того, вредоносная программа осуществляет кейлоггинг, следит за изменениями в буфере обмена и делает скриншоты (каждые 3 минуты).
Заражение происходит в четыре этапа, в ходе которых в процесс 'explorer.exe' внедряется одинаковое количество полезных нагрузок, что позволяет избежать обнаружения средствами защиты.
Если на хосте обнаружен антивирус Avast или Symantec, вредоносная программа внедряется в случайный исполняемый файл из папки C:\Windows\system32.
Стойкость достигается за счет добавления конечной полезной нагрузки ('rubyw.exe') в загрузку Windows и регистрации ее для выполнения в системном планировщике каждые четыре минуты.
Несмотря на то что Microsoft объявила о выходе Internet Explorer из эксплуатации в середине 2022 года, многие компоненты браузера остаются в Windows или используются в стороннем программном обеспечении, что позволяет угрожающим субъектам обнаруживать новые уязвимости для использования в атаках.
При этом пользователи могут даже не подозревать, что используют устаревшее программное обеспечение, которое легко эксплуатировать для атак «с нулевым кликом», что создает почву для массового использования уязвимостей хорошо осведомленными угрожающими субъектами.
Усугубляет ситуацию то, что, хотя Microsoft устранила этот недостаток Internet Explorer в августе, это не гарантирует, что он будет немедленно принят инструментами, использующими старые компоненты. Таким образом, свободное программное обеспечение, использующее устаревшие компоненты Internet Explorer, продолжает подвергать пользователей риску.
BleepingComputer обратился в компанию ASEC с запросом о количестве пострадавших пользователей и названии эксплуатируемого свободного программного обеспечения, и мы сообщим вам дополнительную информацию, как только она будет получена.
57Критическая уязвимость в Kubernetes может позволить получить несанкционированный SSH-доступ к виртуальной машине, на которой запущен образ, созданный с помощью проекта Kubernetes Image Builder.
157CISA добавила в каталог «Известных эксплуатируемых уязвимостей» (KEV) три дефекта, среди которых критический недостаток жесткого кодирования учетных данных в SolarWinds Web Help Desk (WHD), который производитель исправил в конце августа 2024 года.
49Компания Zscaler выпустила ежегодный отчет ThreatLabz, в котором освещаются проблемы безопасности, которые должны быть в поле зрения каждого разработчика.
46Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии