VietNetwork.Vn

Nhóm tin tặc Triều Tiên có tên ScarCruft có liên quan đến việc khai thác lỗ hổng bảo mật zero-day hiện đã được vá trong Windows để lây nhiễm phần mềm độc hại có tên là RokRAT vào các thiết bị.

Lỗ hổng bảo mật đang được đề cập là CVE-2024-38178 (điểm CVSS: 7.5), một lỗi hỏng bộ nhớ trong Scripting Engine có thể dẫn đến thực thi mã từ xa khi sử dụng trình duyệt Edge ở Chế độ Internet Explorer. Microsoft đã vá lỗi này như một phần của bản cập nhật Patch Tuesday cho tháng 8 năm 2024.


Tuy nhiên, để khai thác thành công, kẻ tấn công phải thuyết phục người dùng nhấp vào một URL được thiết kế đặc biệt để bắt đầu thực thi mã độc.

Trung tâm Tình báo An ninh AhnLab (ASEC) và Trung tâm An ninh mạng Quốc gia (NCSC) của Hàn Quốc, những đơn vị được ghi nhận đã phát hiện và báo cáo lỗ hổng này, đã đặt tên cho cụm hoạt động này là Operation Code on Toast.

Các tổ chức đang theo dõi ScarCruft dưới biệt danh TA-RedAnt, trước đây được gọi là RedEyes. Nó cũng được biết đến trong cộng đồng an ninh mạng rộng lớn hơn dưới tên APT37, InkySquid, Reaper, Ricochet Chollima và Ruby Sleet.

Cuộc tấn công zero-day "được đặc trưng bởi việc khai thác một chương trình quảng cáo 'toast' cụ thể thường được đóng gói cùng với nhiều phần mềm miễn phí khác", ASEC cho biết trong một tuyên bố chia sẻ với The Hacker News. "Quảng cáo 'toast', ở Hàn Quốc, ám chỉ các thông báo bật lên xuất hiện ở cuối màn hình PC, thường ở góc dưới bên phải".

Chuỗi tấn công được công ty an ninh mạng Hàn Quốc ghi lại cho thấy kẻ tấn công đã xâm nhập máy chủ của một công ty quảng cáo trong nước giấu tên cung cấp nội dung cho quảng cáo toast với mục đích đưa mã khai thác vào tập lệnh của nội dung quảng cáo.


Lỗ hổng bảo mật này được cho là đã được kích hoạt khi chương trình toast tải xuống và hiển thị nội dung có bẫy từ máy chủ.

"Kẻ tấn công nhắm vào một chương trình toast cụ thể sử dụng mô-đun [Internet Explorer] không được hỗ trợ để tải xuống nội dung quảng cáo, ASEC và NCSC cho biết trong báo cáo phân tích mối đe dọa chung.

"Lỗ hổng này khiến JavaScript Engine của IE (jscript9.dll) diễn giải không đúng kiểu dữ liệu, dẫn đến lỗi nhầm lẫn kiểu. Kẻ tấn công đã khai thác lỗ hổng này để lây nhiễm cho máy tính đã cài đặt chương trình toast dễ bị tấn công. Sau khi bị lây nhiễm, máy tính sẽ phải chịu nhiều hoạt động độc hại khác nhau, bao gồm cả truy cập từ xa."

Phiên bản mới nhất của RokRAT có khả năng liệt kê các tệp, chấm dứt các tiến trình tùy ý, tiếp nhận và thực thi các lệnh nhận được từ máy chủ từ xa và thu thập dữ liệu từ nhiều ứng dụng khác nhau như KakaoTalk, WeChat và các trình duyệt như Chrome, Edge, Opera, Naver Wales và Firefox.

RokRAT còn đáng chú ý vì sử dụng các dịch vụ đám mây hợp pháp như Dropbox, Google Cloud, pCloud và Yandex Cloud làm máy chủ chỉ huy và điều khiển, do đó cho phép nó hòa nhập với lưu lượng truy cập thông thường trong môi trường doanh nghiệp.

Đây không phải là lần đầu tiên ScarCruft lợi dụng các lỗ hổng trong trình duyệt cũ để phát tán phần mềm độc hại tiếp theo. Trong những năm gần đây, nó được cho là do khai thác CVE-2020-1380, một lỗ hổng hỏng bộ nhớ khác trong Scripting Engine và CVE-2022-41128, một lỗ hổng thực thi mã từ xa trong Windows Scripting Languages.

"Trình độ công nghệ của các tổ chức tin tặc Bắc Triều Tiên đã trở nên tiên tiến hơn và họ đang khai thác nhiều lỗ hổng khác nhau ngoài [Internet Explorer]", báo cáo cho biết. "Theo đó, người dùng nên cập nhật hệ điều hành và bảo mật phần mềm của họ".