O ator norte-coreano conhecido como ScarCruft foi associado à exploração de dia zero de uma falha de segurança do Home windows agora corrigida para infectar dispositivos com malware conhecido como RokRAT.
A vulnerabilidade em questão é CVE-2024-38178 (pontuação CVSS: 7,5), um bug de corrupção de memória no mecanismo de script que pode resultar na execução remota de código ao usar o navegador Edge no modo Web Explorer. Ele foi corrigido pela Microsoft como parte das atualizações do Patch Tuesday para agosto de 2024.
No entanto, uma exploração bem-sucedida exige que um invasor convença um usuário a clicar em uma URL especialmente criada para iniciar a execução de código malicioso.
O Centro de Inteligência de Segurança AhnLab (ASEC) e o Centro Nacional de Segurança Cibernética (NCSC) da República da Coreia, que foram creditados por descobrir e relatar a deficiência, atribuíram ao cluster de atividades o nome de Código de Operação no Toast.
As organizações estão rastreando o ScarCruft sob o apelido de TA-RedAnt, anteriormente conhecido como RedEyes. Também é conhecido na comunidade de segurança cibernética como APT37, InkySquid, Reaper, Ricochet Chollima e Ruby Sleet.
O ataque de dia zero é “caracterizado pela exploração de um programa de publicidade específico de ‘brinde’ que normalmente vem junto com vários softwares livres”, disse a ASEC em um comunicado compartilhado com o The Hacker Information. “Anúncios 'Toast', na Coreia, referem-se a notificações pop-up que aparecem na parte inferior da tela do PC, normalmente no canto inferior direito.”
A cadeia de ataques documentada pela empresa sul-coreana de segurança cibernética mostra que os agentes da ameaça comprometeram o servidor de uma agência de publicidade nacional não identificada que fornece conteúdo aos anúncios de brinde com o objetivo de injetar código de exploração no script do conteúdo do anúncio.
Diz-se que a vulnerabilidade foi acionada quando o programa brinde baixa e renderiza o conteúdo armadilhado do servidor.
“O invasor teve como alvo um programa específico que utiliza um módulo não suportado (Web Explorer) para baixar conteúdo publicitário, disseram ASEC e NCSC em um relatório conjunto de análise de ameaças.
“Esta vulnerabilidade faz com que o mecanismo JavaScript do IE (jscript9.dll) interprete incorretamente os tipos de dados, resultando em um erro de confusão de tipo. O invasor explorou esta vulnerabilidade para infectar PCs com o vulnerável programa brinde instalado. Uma vez infectados, os PCs foram submetidos a vários atividades maliciosas, incluindo acesso remoto.”
A versão mais recente do RokRAT é capaz de enumerar arquivos, encerrar processos arbitrários, receber e executar comandos recebidos de um servidor remoto e coletar dados de vários aplicativos, como KakaoTalk, WeChat e navegadores como Chrome, Edge, Opera, Naver Wales e navegadores. Firefox.
RokRAT também é notável por usar serviços de nuvem legítimos como Dropbox, Google Cloud, pCloud e Yandex Cloud como servidor de comando e controle, permitindo assim que ele se misture ao tráfego common em ambientes corporativos.
Esta não é a primeira vez que o ScarCruft utiliza vulnerabilidades no navegador legado para fornecer malware subsequente. Nos últimos anos, foi atribuído à exploração de CVE-2020-1380, outra falha de corrupção de memória no Scripting Engine, e CVE-2022-41128, uma vulnerabilidade de execução remota de código em linguagens de script do Home windows.
“O nível tecnológico das organizações de hackers norte-coreanas tornou-se mais avançado e elas estão explorando várias vulnerabilidades além do (Web Explorer)”, disse o relatório. “Assim, os usuários devem atualizar seu sistema operacional e segurança de software program.”