Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Северокорейские хакеры маскируют вредоносный код под обычные уведомления для Windows

17/10/24

MSFT-An-old-Internet-Explorer-interface-on-an-old-PC-monitor

Группа ScarCruft из Северной Кореи вновь использовала уязвимость в Windows для распространения вредоносного программного обеспечения RokRAT. Эксплуатация затрагивает уязвимость CVE-2024-38178 с рейтингом CVSS 7.5, связанную с повреждением памяти в Scripting Engine, что позволяет выполнять удалённый код через Edge в режиме Internet Explorer, пишет Securitylab.

Microsoft выпустила исправление для этой проблемы в рамках обновлений Patch Tuesday в августе 2024 года, однако хакеры не сбавляют темп и активно атакуют необновлённые системы.

Для активации атаки злоумышленникам необходимо убедить жертву перейти по специально подготовленной ссылке. Исследователи из ASEC и Национального центра кибербезопасности Южной Кореи (NCSC) назвали кампанию «Операция Code on Toast». В международной среде группа ScarCruft также известна как TA-RedAnt, APT37, InkySquid, Reaper, Ricochet Chollima и Ruby Sleet.

Особенностью этой атаки стало использование рекламной программы «toast» — уведомлений, которые появляются в нижней части экрана. Атакующие взломали сервер неназванного рекламного агентства, предоставляющего контент для таких уведомлений, и внедрили в скрипт рекламы вредоносный код.

Уязвимость активировалась при загрузке вредоносного содержимого через «toast», использующего устаревший модуль Internet Explorer. Это вызвало ошибку интерпретации типов в JavaScript Engine (jscript9.dll), что позволило атакующим проникнуть в системы с установленной уязвимой программой и получить удалённый доступ.

Обновлённая версия RokRAT способна управлять файлами, завершать процессы, выполнять команды с удалённого сервера и собирать данные из популярных приложений, таких как KakaoTalk и WeChat, а также из браузеров Chrome, Edge, Opera, Firefox и других. Для управления атаками RokRAT использует легитимные облачные сервисы, включая Dropbox, Google Cloud и Yandex Cloud, чтобы маскировать свою активность.

Группа ScarCruft уже не впервые эксплуатирует уязвимости в Internet Explorer. В прошлом ей приписывали атаки с использованием CVE-2020-1380 и CVE-2022-41128. 

Темы:поисковикиWindowsПреступленияКНДРЮжная Корея
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...