导 读
被称为ScarCruft的朝鲜威胁组织涉嫌利用 Windows 中(现已修补的)安全漏洞的0day攻击,使用被称为RokRAT的恶意软件感染设备。
该漏洞为CVE-2024-38178(CVSS 评分:7.5),是脚本引擎中的一个内存损坏错误,在 Internet Explorer 模式下使用 Edge 浏览器时可能导致远程代码执行。微软已在 2024 年 8 月的补丁更新中对其进行了修补。
要成功利用该漏洞,攻击者需要说服用户点击特制的 URL,以启动恶意代码执行。
发现并报告这一漏洞的韩国安博士实验室安全情报中心 (ASEC) 和国家网络安全中心 (NCSC) 将该活动集群命名为“Operation Code on Toast”。
这些组织被命名为 ScarCruft,之前被称为 RedEyes。在更广泛的网络安全社区中,它也被称为 APT37、InkySquid、Reaper、Ricochet Chollima 和 Ruby Sleet。
韩国安博士实验室表示,这次0day攻击“以利用一种特定的‘toast’广告程序为特征,这种程序通常与各种免费软件捆绑在一起。”“在韩国,‘Toast’广告是指出现在电脑屏幕底部的弹出通知,通常在右下角。”
韩国网络安全公司记录的攻击链显示,威胁组织入侵了一家未具名的国内广告代理商的服务器,该代理商为 Toast 广告提供内容,目的是将漏洞代码注入广告内容的脚本中。
据称,当 Toast 程序从服务器下载并呈现陷阱内容时,就会触发该漏洞。
ASEC 和 NCSC 在联合威胁分析报告中表示:“攻击者针对了一个特定的 Toast 程序,该程序利用不受支持的 [Internet Explorer] 模块下载广告内容。
“该漏洞导致 IE 的 JavaScript 引擎 (jscript9.dll) 无法正确解释数据类型,从而导致类型混淆错误。攻击者利用此漏洞感染安装了存在漏洞的 toast 程序的 PC。一旦被感染,PC 就会遭受各种恶意活动,包括远程访问。”
RokRAT 的最新版本能够枚举文件、终止任意进程、接收和执行从远程服务器接收的命令,以及从各种应用程序(如 KakaoTalk、微信)以及 Chrome、Edge、Opera、Naver Wales 和 Firefox 等浏览器收集数据。
RokRAT 还因使用 Dropbox、Google Cloud、pCloud 和 Yandex Cloud 等合法云服务作为其命令和控制(C2)服务器而闻名,从而使其能够融入企业环境中的常规流量。
这并不是 ScarCruft 第一次利用旧版浏览器中的漏洞来传播后续恶意软件。近年来,它被归因于对脚本引擎中的另一个内存损坏漏洞CVE-2020-1380和Windows 脚本语言中的远程代码执行漏洞CVE-2022-41128的利用。
报告称:“朝鲜黑客组织的技术水平越来越高,除了 Internet Explorer 之外,他们还在利用各种漏洞。因此,用户应该及时更新操作系统和应用软件,以提高系统安全性。”
完整报告(韩文):
(전체본)공개보고서-OperationCodeonToast.pdf
https://image.ahnlab.com/atip/content/file/20241015/(%EC%A0%84%EC%B2%B4%EB%B3%B8)%EA%B3%B5%EA%B0%9C%EB%B3%B4%EA%B3%A0%EC%84%9C-OperationCodeonToast.pdf
新闻链接:
https://thehackernews.com/2024/10/north-korean-scarcruft-exploits-windows.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
黑客利用 MeduzaStealer 恶意软件攻击针对适龄服兵役的乌克兰男子
https://therecord.media/hackers-target-ukraine-draftees-meduzastealer-malware-telegram
朝鲜 ScarCruft 黑客组织利用 Windows 0day漏洞传播 RokRAT 恶意软件
https://thehackernews.com/2024/10/north-korean-scarcruft-exploits-windows.html
朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金
https://thehackernews.com/2024/10/new-linux-variant-of-fastcash-malware.html
OilRig 利用 Windows 内核漏洞针对阿联酋和海湾地区开展间谍活动
https://thehackernews.com/2024/10/oilrig-exploits-windows-kernel-flaw-in.html
CISA 警告威胁组织利用 F5 BIG-IP Cookies 进行网络侦察
https://thehackernews.com/2024/10/cisa-warns-of-threat-actors-exploiting.html
网络攻击袭击了伊朗政府网站和核设施
https://securityaffairs.com/169693/cyber-warfare-2/cyber-attack-hit-iranian-nuclear-facilities.html
俄罗斯法院网站遭亲乌克兰黑客攻击后瘫痪
https://therecord.media/russian-court-websites-down-attack-claimed-pro-ukraine-group
为特朗普提供咨询服务的美国第一政策研究所称其系统遭到入侵
https://www.securityweek.com/america-first-policy-institute-a-group-advising-trump-says-its-systems-were-breached/
一般威胁事件
General Threat Incidents
HP Wolf Security 发现攻击者使用 AI 生成恶意软件的证据
https://www.intelligentciso.com/2024/10/16/hp-wolf-security-uncovers-evidence-of-attackers-using-ai-to-generate-malware/
Google Play 上超过 200 个恶意应用已被下载数百万次
https://www.bleepingcomputer.com/news/security/over-200-malicious-apps-on-google-play-downloaded-millions-of-times/
暗网上发现近 1000 万份来自中东的被盗账户记录
https://www.kaspersky.com/about/press-releases/almost-10-million-of-stolen-account-records-from-the-middle-east-found-on-the-dark-web
大众汽车称勒索软件团伙声称数据被盗后 IT 基础设施未受影响
https://www.securityweek.com/volkswagen-says-it-infrastructure-not-affected-after-ransomware-gang-claims-data-theft/
新的恶意软件活动使用 PureCrypter Loader 来传播 DarkVision RAT
https://thehackernews.com/2024/10/new-malware-campaign-uses-purecrypter.html
研究人员发现利用被盗代码签名证书的劫持加载程序恶意软件
https://thehackernews.com/2024/10/researchers-uncover-hijack-loader.html
微软称去年美国近 400 家医疗机构遭受勒索软件攻击
https://therecord.media/ransomware-healthcare-microsoft-last-year
趋势科技报告红队工具 EDRSilencer 被威胁组织利用,以绕过安全措施进行攻击
https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/
漏洞事件
Vulnerability Incidents
Mandiant:2023 年披露的被利用漏洞中有 70% 是0day
https://www.bleepingcomputer.com/news/security/google-70-percent-of-exploited-flaws-disclosed-in-2023-were-zero-days/
VMware 修补 HCX 平台中的高严重性 SQL 注入漏洞
https://www.securityweek.com/vmware-patches-high-severity-sql-injection-flaw-in-hcx-platform/
Oracle 宣布在 10 月关键补丁更新 (CPU) 中发布 334 个新的安全补丁,修复200多个漏洞
https://www.securityweek.com/oracle-patches-over-200-vulnerabilities-with-october-2024-cpu/
CISA 警告称,SolarWinds Web Help Desk 中一个硬编码凭据漏洞已被利用
https://www.securityweek.com/organizations-warned-of-exploited-solarwinds-web-help-desk-vulnerability/
微软修补 Power Platform 和 Imagine Cup 网站中的漏洞
https://www.securityweek.com/microsoft-patches-vulnerabilities-in-power-platform-imagine-cup-site/
Kubernetes Image Builder 存在严重漏洞,可让 SSH 获得虚拟机的 root 访问权限
https://www.bleepingcomputer.com/news/security/critical-kubernetes-image-builder-flaw-gives-ssh-root-access-to-vms/
GitHub 解决了企业服务器中的一个严重漏洞(CVE-2024-9487,CVSS 评分为 9.5)
https://securityaffairs.com/169873/security/github-addressed-ctitical-flaw-in-enterprise-server.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):朝鲜 ScarCruft 黑客组织利用 Windows 0day漏洞传播 RokRAT 恶意软件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论