朝鲜 ScarCruft 黑客组织利用 Windows 0day漏洞传播 RokRAT 恶意软件

admin 2024年10月17日23:04:54评论38 views字数 4647阅读15分29秒阅读模式

导 

被称为ScarCruft的朝鲜威胁组织涉嫌利用 Windows 中(现已修补的)安全漏洞的0day攻击,使用被称为RokRAT的恶意软件感染设备。

该漏洞为CVE-2024-38178(CVSS 评分:7.5),是脚本引擎中的一个内存损坏错误,在 Internet Explorer 模式下使用 Edge 浏览器时可能导致远程代码执行。微软已在 2024 年 8 月的补丁更新中对其进行了修补。

要成功利用该漏洞,攻击者需要说服用户点击特制的 URL,以启动恶意代码执行。

发现并报告这一漏洞的韩国安博士实验室安全情报中心 (ASEC) 和国家网络安全中心 (NCSC) 将该活动集群命名为“Operation Code on Toast”。

朝鲜 ScarCruft 黑客组织利用 Windows 0day漏洞传播 RokRAT 恶意软件

这些组织被命名为 ScarCruft,之前被称为 RedEyes。在更广泛的网络安全社区中,它也被称为 APT37、InkySquid、Reaper、Ricochet Chollima 和 Ruby Sleet。

韩国安博士实验室表示,这次0day攻击“以利用一种特定的‘toast’广告程序为特征,这种程序通常与各种免费软件捆绑在一起。”“在韩国,‘Toast’广告是指出现在电脑屏幕底部的弹出通知,通常在右下角。”

韩国网络安全公司记录的攻击链显示,威胁组织入侵了一家未具名的国内广告代理商的服务器,该代理商为 Toast 广告提供内容,目的是将漏洞代码注入广告内容的脚本中。

朝鲜 ScarCruft 黑客组织利用 Windows 0day漏洞传播 RokRAT 恶意软件

据称,当 Toast 程序从服务器下载并呈现陷阱内容时,就会触发该漏洞。

ASEC 和 NCSC 在联合威胁分析报告中表示:“攻击者针对了一个特定的 Toast 程序,该程序利用不受支持的 [Internet Explorer] 模块下载广告内容。

“该漏洞导致 IE 的 JavaScript 引擎 (jscript9.dll) 无法正确解释数据类型,从而导致类型混淆错误。攻击者利用此漏洞感染安装了存在漏洞的 toast 程序的 PC。一旦被感染,PC 就会遭受各种恶意活动,包括远程访问。”

RokRAT 的最新版本能够枚举文件、终止任意进程、接收和执行从远程服务器接收的命令,以及从各种应用程序(如 KakaoTalk、微信)以及 Chrome、Edge、Opera、Naver Wales 和 Firefox 等浏览器收集数据。

RokRAT 还因使用 Dropbox、Google Cloud、pCloud 和 Yandex Cloud 等合法云服务作为其命令和控制(C2)服务器而闻名,从而使其能够融入企业环境中的常规流量。

这并不是 ScarCruft 第一次利用旧版浏览器中的漏洞来传播后续恶意软件。近年来,它被归因于对脚本引擎中的另一个内存损坏漏洞CVE-2020-1380和Windows 脚本语言中的远程代码执行漏洞CVE-2022-41128的利用。

报告称:“朝鲜黑客组织的技术水平越来越高,除了 Internet Explorer 之外,他们还在利用各种漏洞。因此,用户应该及时更新操作系统和应用软件,以提高系统安全性。”

完整报告(韩文):

(전체본)공개보고서-OperationCodeonToast.pdf
https://image.ahnlab.com/atip/content/file/20241015/(%EC%A0%84%EC%B2%B4%EB%B3%B8)%EA%B3%B5%EA%B0%9C%EB%B3%B4%EA%B3%A0%EC%84%9C-OperationCodeonToast.pdf

新闻链接:

https://thehackernews.com/2024/10/north-korean-scarcruft-exploits-windows.html

朝鲜 ScarCruft 黑客组织利用 Windows 0day漏洞传播 RokRAT 恶意软件

今日安全资讯速递

APT事件

Advanced Persistent Threat

黑客利用 MeduzaStealer 恶意软件攻击针对适龄服兵役的乌克兰男子

https://therecord.media/hackers-target-ukraine-draftees-meduzastealer-malware-telegram

朝鲜 ScarCruft 黑客组织利用 Windows 0day漏洞传播 RokRAT 恶意软件

https://thehackernews.com/2024/10/north-korean-scarcruft-exploits-windows.html

朝鲜黑客使用已知恶意软件家族FASTCash的 Linux 变种来窃取资金

https://thehackernews.com/2024/10/new-linux-variant-of-fastcash-malware.html

OilRig 利用 Windows 内核漏洞针对阿联酋和海湾地区开展间谍活动

https://thehackernews.com/2024/10/oilrig-exploits-windows-kernel-flaw-in.html

CISA 警告威胁组织利用 F5 BIG-IP Cookies 进行网络侦察

https://thehackernews.com/2024/10/cisa-warns-of-threat-actors-exploiting.html

网络攻击袭击了伊朗政府网站和核设施

https://securityaffairs.com/169693/cyber-warfare-2/cyber-attack-hit-iranian-nuclear-facilities.html

俄罗斯法院网站遭亲乌克兰黑客攻击后瘫痪

https://therecord.media/russian-court-websites-down-attack-claimed-pro-ukraine-group

为特朗普提供咨询服务的美国第一政策研究所称其系统遭到入侵

https://www.securityweek.com/america-first-policy-institute-a-group-advising-trump-says-its-systems-were-breached/

一般威胁事件

General Threat Incidents

HP Wolf Security 发现攻击者使用 AI 生成恶意软件的证据

https://www.intelligentciso.com/2024/10/16/hp-wolf-security-uncovers-evidence-of-attackers-using-ai-to-generate-malware/

Google Play 上超过 200 个恶意应用已被下载数百万次

https://www.bleepingcomputer.com/news/security/over-200-malicious-apps-on-google-play-downloaded-millions-of-times/

暗网上发现近 1000 万份来自中东的被盗账户记录

https://www.kaspersky.com/about/press-releases/almost-10-million-of-stolen-account-records-from-the-middle-east-found-on-the-dark-web

大众汽车称勒索软件团伙声称数据被盗后 IT 基础设施未受影响

https://www.securityweek.com/volkswagen-says-it-infrastructure-not-affected-after-ransomware-gang-claims-data-theft/

新的恶意软件活动使用 PureCrypter Loader 来传播 DarkVision RAT

https://thehackernews.com/2024/10/new-malware-campaign-uses-purecrypter.html

研究人员发现利用被盗代码签名证书的劫持加载程序恶意软件

https://thehackernews.com/2024/10/researchers-uncover-hijack-loader.html

微软称去年美国近 400 家医疗机构遭受勒索软件攻击

https://therecord.media/ransomware-healthcare-microsoft-last-year

趋势科技报告红队工具 EDRSilencer 被威胁组织利用,以绕过安全措施进行攻击

https://www.bleepingcomputer.com/news/security/edrsilencer-red-team-tool-used-in-attacks-to-bypass-security/

漏洞事件

Vulnerability Incidents

Mandiant:2023 年披露的被利用漏洞中有 70% 是0day

https://www.bleepingcomputer.com/news/security/google-70-percent-of-exploited-flaws-disclosed-in-2023-were-zero-days/

VMware 修补 HCX 平台中的高严重性 SQL 注入漏洞

https://www.securityweek.com/vmware-patches-high-severity-sql-injection-flaw-in-hcx-platform/

Oracle 宣布在 10 月关键补丁更新 (CPU) 中发布 334 个新的安全补丁,修复200多个漏洞

https://www.securityweek.com/oracle-patches-over-200-vulnerabilities-with-october-2024-cpu/

CISA 警告称,SolarWinds Web Help Desk 中一个硬编码凭据漏洞已被利用

https://www.securityweek.com/organizations-warned-of-exploited-solarwinds-web-help-desk-vulnerability/

微软修补 Power Platform 和 Imagine Cup 网站中的漏洞

https://www.securityweek.com/microsoft-patches-vulnerabilities-in-power-platform-imagine-cup-site/

Kubernetes Image Builder 存在严重漏洞,可让 SSH 获得虚拟机的 root 访问权限

https://www.bleepingcomputer.com/news/security/critical-kubernetes-image-builder-flaw-gives-ssh-root-access-to-vms/

GitHub 解决了企业服务器中的一个严重漏洞(CVE-2024-9487,CVSS 评分为 9.5)

https://securityaffairs.com/169873/security/github-addressed-ctitical-flaw-in-enterprise-server.html

朝鲜 ScarCruft 黑客组织利用 Windows 0day漏洞传播 RokRAT 恶意软件

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):朝鲜 ScarCruft 黑客组织利用 Windows 0day漏洞传播 RokRAT 恶意软件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月17日23:04:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜 ScarCruft 黑客组织利用 Windows 0day漏洞传播 RokRAT 恶意软件https://cn-sec.com/archives/3280470.html

发表评论

匿名网友 填写信息