Table of Contents
A Exploração de Vulnerabilidades pelo Ataque ScarCruft e o Malware RokRAT
O ator de ameaça norte-coreano conhecido como ScarCruft foi recentemente vinculado à exploração de uma falha de segurança de dia zero que agora foi corrigida, utilizando-a para infectar dispositivos com o malware denominado RokRAT.
A Vulnerabilidade e suas Implicações
A vulnerabilidade específica em questão é identificada como CVE-2024-38178, a qual possui uma pontuação CVSS de 7.5. Trata-se de um bug de corrupção de memória no Scripting Engine que pode resultar na execução remota de código ao utilizar o navegador Edge no Modo Internet Explorer. Esta falha foi corrigida pela Microsoft como parte de suas atualizações do Patch Tuesday em agosto de 2024.
Para que a exploração fosse bem-sucedida, um atacante precisava convencer uma vítima a clicar em uma URL especialmente criada, iniciando assim a execução do código malicioso.
Operação Code on Toast
O Centro de Inteligência de Segurança AhnLab (ASEC) e o Centro Nacional de Segurança Cibernética (NCSC) da República da Coreia foram creditados com a descoberta e relato da falha, nomeando o conjunto de atividades como Operação Code on Toast.
As organizações estão acompanhando o ScarCruft sob o nome de TA-RedAnt, anteriormente conhecido como RedEyes. No entanto, é também reconhecido na comunidade de cibersegurança mais ampla com denominações como APT37, InkySquid, Reaper, Ricochet Chollima e Ruby Sleet.
Características da Exploração
A apresentação foi caracterizada pela exploração de um programa específico de anúncios “toast”, frequentemente embutido em diversos softwares gratuitos. Os anúncios “toast”, na Coreia, referem-se a notificações pop-up que aparecem na parte inferior da tela do PC, tipicamente no canto inferior direito.
A Cadeia de Ataque
A cadeia de ataque documentada pela empresa de cibersegurança sul-coreana indica que os atores de ameaça comprometeram o servidor de uma agência de publicidade interna sem nome, que fornece conteúdo para os anúncios toast, com o objetivo de injetar código exploratório no script do conteúdo publicitário.
A vulnerabilidade foi desencadeada quando o programa toast baixou e renderizou o conteúdo manipulado do servidor.
Os atacantes miraram em um programa de toast específico que utiliza um módulo não suportado do Internet Explorer para baixar conteúdo publicitário. Essa vulnerabilidade faz com que o mecanismo JavaScript do IE (jscript9.dll) interprete inadequadamente os tipos de dados, resultando em um erro de confusão de tipos.
Funcionalidades do RokRAT
A versão mais recente do RokRAT é capaz de enumerar arquivos, encerrar processos arbitrários, receber e executar comandos de um servidor remoto, além de coletar dados de várias aplicações, como KakaoTalk, WeChat, e navegadores como Chrome, Edge, Opera, Naver Wales e Firefox.
Adicionalmente, o RokRAT é notável por utilizar serviços de nuvem legítimos, como Dropbox, Google Cloud, pCloud e Yandex Cloud, como seus servidores de comando e controle, permitindo que se misture ao tráfego regular em ambientes corporativos.
Frequência de Explorações Anteriores
Não é a primeira vez que o ScarCruft arma vulnerabilidades em navegadores legados para entregar malware subsequente. Nos últimos anos, o grupo foi atribuído à exploração da CVE-2020-1380, outra falha de corrupção de memória no Scripting Engine, e da CVE-2022-41128, uma vulnerabilidade de execução remota de código nas linguagens de script do Windows.
O nível tecnológico das organizações de hackers da Coreia do Norte se tornou mais avançado, e eles estão explorando várias vulnerabilidades, além do Internet Explorer. Portando, os usuários devem atualizar seus sistemas operacionais e a segurança do software.
#Cibersegurança, #ScarCruft, #RokRAT, #Vulnerabilidades, #Malware, #CVE202438178, #AtaquesCibernéticos, #Tecnologia
Fonte:https://thehackernews.com/2024/10/north-korean-scarcruft-exploits-windows.html