Kuzey Kore hackleme grubu Scarcruft, Mayıs ayında, hedefleri Rokrat kötü amaçlı yazılımlarla enfekte etmek ve verileri pes ettirmek için bir internet explorer sıfır gün kusurundan yararlanan büyük ölçekli bir saldırı başlattı.
Scarcruft (diğer adıyla "Apt37" veya "Redeyes"), Güney Kore ve Avrupa'daki hedefleme sistemleri ve kimlik avı, sulama deliği ve internet kullanan Kuzey Kore insan hakları aktivistleri ve defektörleri ile birlikte devlet destekli bir siber-ihale tehdit oyuncusudur. Explorer Zero-Days.
Güney Kore'nin Ulusal Siber Güvenlik Merkezi (NCSC) ve Ahnlab (ASEC) tarafından yapılan yeni bir ortak rapor, sıfır-tıkaç kötü amaçlı kötü amaçlı yazılım enfeksiyonları gerçekleştirmek için tost açılır reklamlardan yararlanan "Toast On Code" adlı yeni bir Scarcruft kampanyasını özetliyor.
Sıfır gün saldırılarında kullanılan kusur CVE-2024-38178 olarak izlenir ve Internet Explorer'da yüksek şiddetli bir karışıklık kusurudur.
Kampanyaya yanıt veren ASEC ve NCSC, Microsoft'u derhal olarak bilgilendirdi ve teknoloji devi, Ağustos 2024'te CVE-2024-39178'i ele almak için bir güvenlik güncellemesi yayınladı.
İlginç bir şekilde, araştırmacılar Scarcruft'ın istismarının CVE-2022-41128 için geçmişte kullandıkları ile çok benzer olduğunu ve tek ekleme Microsoft'un önceki düzeltmelerini atlamak için tasarlanmış üç kod satırı olduğunu buldular.
Tost bildirimleri, bildirimler, uyarılar veya reklamlar görüntülemek için antivirüs veya ücretsiz yardımcı program gibi yazılımların köşesinde görüntülenen pop-up'lardır.
Ahnlab'a göre, APT37, çok sayıda Güney Koreli tarafından kullanılan isimsiz bir ücretsiz yazılıma özel olarak hazırlanmış 'tost reklamları' itmek için bir yerli reklam ajansının sunucularından birini tehlikeye attı.
Bu reklamlar, Internet Explorer tarafından oluşturulduğunda, 'AD_TOAST' adlı bir JavaScript dosyasına neden olan ve Internet Explorer'ın JScript9.dll dosyasındaki (Chakra Motoru) uzaktan kod yürütülmesini tetiklemek için 'AD_TOAST' adlı bir JavaScript dosyasına neden olan kötü niyetli bir iframe içeriyordu.
Bu saldırıda bırakılan kötü amaçlı yazılımlar, Scarcruft'un birkaç yıldır saldırılarda kullandığı bir Rokrat çeşididir.
Rokrat'ın birincil rolü, 20 uzantıyı (.doc, .mdb, .xls, .ppt, .txt, .amr dahil) eşleştiren dosyaları bir yandex bulut örneğine her 30 dakikada bir eşleştirmektir.
Kötü amaçlı yazılım ayrıca anahtarlama yapar, pano değişiklikleri için monitörler yapar ve ekran görüntülerini (3 dakikada bir) yakalar.
Enfeksiyon, 'explorer.exe' işlemine, güvenlik araçları tarafından kaçınarak eşit sayıda yükün enjekte edildiği dört aşamalı bir işlem yoluyla gerçekleştirilir.
Ana bilgisayarda Avast veya Symantec antivirüs algılanırsa, kötü amaçlı yazılımlar bunun yerine C: \ Windows \ System32 klasöründen rastgele bir yürütülebilir dosyaya enjekte edilir.
Kalıcılık, Windows başlangıçına son bir yük ('Rubyw.exe') ekleyerek ve her dört dakikada bir sistemin zamanlayıcısında yürütülmesi için kaydedilerek elde edilir.
Microsoft, Internet Explorer'ın 2022'nin ortalarında emekliliğini duyurmasına rağmen, tarayıcının bileşenlerinin çoğu Windows'ta kalıyor veya üçüncü taraf yazılımı tarafından kullanılıyor ve tehdit aktörlerinin saldırılarda kullanım için yeni güvenlik açıklarını keşfetmesine izin veriyor.
Bu, kullanıcılar sıfır tıkanık saldırılar için kolayca sömürülebilen ve bilgili tehdit aktörleri tarafından kitlesel olarak sömürü için zemin hazırlayan eski yazılımlarda olduklarını fark etmeden bile olabilir.
Bunu daha da kötüleştiren şey, Microsoft'un Ağustos ayında bu İnternet Explorer kusurunu düzeltmesine rağmen, eski bileşenleri kullanan araçlar tarafından hemen benimseneceğini garanti etmemesidir. Bu nedenle, modası geçmiş Internet Explorer bileşenlerini kullanan ücretsiz yazılım kullanıcıları riske atmaya devam etmektedir.
BleepingComputer, ASEC'e etkilenen kullanıcıların sayısı ve sömürülen ücretsiz yazılımın adını sordu ve mevcut bir kez daha fazla bilgi ile sizi güncelleyeceğiz.
Güney Koreli hackerlar, kötü amaçlı yazılımları dağıtmak için WPS Ofisi Zero Day'den yararlandı
Mozilla, Firefox'u Saldırılarda Aktif Olarak Sömürülen Zero-Day'i düzeltir
Ivanti, saldırılarda sömürülen üç CSA sıfır gününü daha uyarıyor
Qualcomm Yamaları Saldırılarda Yüksek Şeyişlilik Sıfır Gün Sömürüldü
CISA, Infostealer kötü amaçlı yazılım saldırılarında kullanılan Windows Flaw'ı uyarıyor
Kaynak: Bleeping Computer