ScarCruft olarak bilinen Kuzey Koreli tehdit aktörünün, RokRAT olarak bilinen kötü amaçlı yazılımları cihazlara bulaştırmak için Windows’taki yamalanmış bir güvenlik açığından sıfır gün yararlanılmasıyla bağlantısı var.
Söz konusu güvenlik açığı CVE-2024-38178’dir (CVSS puanı: 7,5), Komut Dosyası Motorunda bulunan ve Internet Explorer Modunda Edge tarayıcısı kullanıldığında uzaktan kod yürütülmesine neden olabilecek bir bellek bozulması hatasıdır. Ağustos 2024’teki Salı Yaması güncellemelerinin bir parçası olarak Microsoft tarafından yama uygulandı.
Bununla birlikte, başarılı bir şekilde yararlanma, bir saldırganın, kötü amaçlı kodun yürütülmesini başlatmak için kullanıcıyı özel hazırlanmış bir URL’ye tıklamaya ikna etmesini gerektirir.
Eksikliği keşfetme ve raporlama konusunda itibar sahibi olan AhnLab Güvenlik İstihbarat Merkezi (ASEC) ve Kore Cumhuriyeti Ulusal Siber Güvenlik Merkezi (NCSC), etkinlik kümesine Toast Operasyon Kodu adını verdi.
Kuruluşlar, ScarCruft’u daha önce RedEyes olarak anılan TA-RedAnt adı altında takip ediyor. Ayrıca daha geniş siber güvenlik topluluğunda APT37, InkySquid, Reaper, Ricochet Chollima ve Ruby Sleet isimleri altında da biliniyor.
ASEC, The Hacker News ile paylaştığı bir bildiride, sıfır gün saldırısının “genelde çeşitli ücretsiz yazılımlarla birlikte gelen belirli bir ‘kızartma’ reklam programının kullanılmasıyla karakterize edildiğini” söyledi. “Kore’de ‘Tost’ reklamları, bilgisayar ekranının alt kısmında, genellikle sağ alt köşede görünen açılır bildirimleri ifade eder.”
Güney Koreli siber güvenlik firması tarafından belgelenen saldırı zinciri, tehdit aktörlerinin reklam içeriğinin senaryosuna yararlanma kodu enjekte etmek amacıyla tost reklamlarına içerik sağlayan isimsiz bir yerli reklam ajansının sunucusunu tehlikeye attığını gösteriyor.
Güvenlik açığının, tost programının bubi tuzaklı içeriği sunucudan indirip işlemesi sırasında tetiklendiği söyleniyor.
“Saldırgan, desteklenmeyen bir yazılım kullanan belirli bir tost programını hedef aldı [Internet Explorer] ASEC ve NCSC ortak bir tehdit analizi raporunda, reklam içeriğini indirmek için modülün kullanıldığını söyledi.
“Bu güvenlik açığı, IE’nin JavaScript Motorunun (jscript9.dll) veri türlerini yanlış yorumlamasına neden olarak tür karışıklığı hatasına neden olur. Saldırgan, bu güvenlik açığından yararlanarak, güvenlik açığı bulunan tost programının yüklü olduğu bilgisayarlara bulaştı. Bu güvenlik açığından sonra, bilgisayarlar çeşitli saldırılara maruz kaldı. uzaktan erişim de dahil olmak üzere kötü niyetli faaliyetler.”
RokRAT’ın en son sürümü, dosyaları numaralandırma, rastgele işlemleri sonlandırma, uzak bir sunucudan alınan komutları alma ve yürütme ve KakaoTalk, WeChat gibi çeşitli uygulamalardan ve Chrome, Edge, Opera, Naver Wales gibi tarayıcılardan veri toplama yeteneğine sahiptir. Firefox.
RokRAT ayrıca Dropbox, Google Cloud, pCloud ve Yandex Cloud gibi meşru bulut hizmetlerini komuta ve kontrol sunucusu olarak kullanması ve böylece kurumsal ortamlardaki normal trafiğe uyum sağlamasıyla da dikkat çekiyor.
Bu, ScarCruft’un, devam eden kötü amaçlı yazılımlar sunmak için eski tarayıcıdaki güvenlik açıklarını silah haline getirdiği ilk sefer değil. Son yıllarda bu durumun, Komut Dosyası Motoru’ndaki başka bir bellek bozulması kusuru olan CVE-2020-1380’in ve Windows Komut Dosyası Dilleri’ndeki bir uzaktan kod yürütme güvenlik açığı olan CVE-2022-41128’in kötüye kullanılmasıyla ilişkilendirildiği düşünülüyor.
“Kuzey Kore hack kuruluşlarının teknolojik seviyesi daha da gelişmiş hale geldi ve çeşitli güvenlik açıklarından yararlanıyorlar. [Internet Explorer]Raporda “Buna göre kullanıcıların işletim sistemi ve yazılım güvenliğini güncellemeleri gerekiyor.”