Cyber-Obmana: Kako je Hakerska Grupa ScarCruft Iskoristila Internet Explorer Flaw za Špijuniranje
Uznemiravajuća vijest dolazi iz svijeta kibernetičke sigurnosti. Nordkorejska hakerska grupa ScarCruft, koja je povezana sa državnim aktivnostima, nedavno je pokrenula opsežnu kampanju kibernetičkog špijuniranja. Prema upozorenjima stručnjaka, koristeći ranjivost “zero-day” u Internet Exploreru, uspjeli su implementirati RokRAT malware.
Tko je ScarCruft?
ScarCruft, poznat i kao APT37 ili RedEyes, je hakerska grupa sponzorirana od strane sjevernokorejske države, koja je poznata po svojim kibernetičkim špijunskim aktivnostima. Njihove žrtve najčešće su aktivisti za ljudska prava iz Južne Koreje, dezertori te političke entitete u Europi.
Kampanja “Code on Toast”
Njihova najnovija kampanja, nazvana “Code on Toast”, otkrivena je u zajedničkom izvješću južnokorejskih Nacionalnog centra za kibernetičku sigurnost (NCSC) i AhnLab (ASEC). Ova kampanja je koristila inovativnu metodu dostavljanja malware-a putem “toast” obavijesti — malih skočnih reklama koje prikazuje antivirusni softver ili besplatni utilitarni programi.
- ScarCruft je kompromitirao server jedne domaće reklamne agencije u Južnoj Koreji.
- Maliciozne “Toast reklamne” poruke su korištene za infekciju sustava.
- Specijalno izrađeni iFrame aktivirao je JavaScript datoteku ‘ad_toast’, koja je iskoristila Internet Explorerovu ranjivost.
Tehnička Ranjivost i Infekcija
Ranjivost koja je korištena u ovom napadu naziva se CVE-2024-38178 i ocijenjena je sa 7.5 na ljestvici ozbiljnosti. Ova ranjivost se nalazi u JScript9.dll datoteci Internet Explorera, što omogućava daljinsku izvršavanje koda. Unatoč službenom povlačenju Internet Explorera 2022. godine, mnogi njegovi dijelovi ostali su integralni dio Windows-a i softvera trećih strana, čineći ih laganim metama za napade.
RokRAT: Malwar koji Sve Prati
Jednom kada se ranjivost iskoristi, ScarCruft dostavlja RokRAT malware u zaražene sustave. RokRAT je namijenjen eksfiltraciji osjetljivih podataka, usmjeravajući datoteke s određenim ekstenzijama poput .doc, .xls, .ppt i druge svake 30 minuta na Yandex oblak.
Zaštita Od Malware-a
Pored eksfiltracije datoteka, RokRAT nudi i mogućnosti nadzora, uključujući snimanje tipkovnice, praćenje međuspremnika te snimanje zaslona svake tri minute. Proces infekcije se sastoji od četiri faze gdje se svaki payload injektira u “explorer.exe” proces da bi izbjegao detekciju. Ako su na sustavu prisutni popularni antivirusni alati kao što su Avast ili Symantec, malware se umjesto toga injektira u nasumičnu izvršnu datoteku iz C:\Windows\system32 mape.
Zaključak
Ova kampanja ističe ozbiljnost i sofisticiranost kibernetičkih prijetnji koje predstavljaju hakerske grupe poput ScarCruft. Važno je da korisnici i organizacije budu svjesni ovih potencijalnih prijetnji i poduzmu mjere zaštite kako bi spriječili moguće napade. Sigurnosne mjere, uključujući redovno ažuriranje softvera i korištenje snažnih antivirusnih rješenja, mogu pomoći u zaštiti od ovakvih sofisticiranih napada.
