De Noord-Koreaanse dreigingsactor, bekend als ScarCruft, is in verband gebracht met de zero-day exploitatie van een inmiddels gepatchte beveiligingsfout in Windows om apparaten te infecteren met malware die bekend staat als RokRAT.
De kwetsbaarheid in kwestie is CVE-2024-38178 (CVSS-score: 7,5), een geheugencorruptiebug in de Scripting Engine die kan resulteren in uitvoering van externe code bij gebruik van de Edge-browser in de Internet Explorer-modus. Het is door Microsoft gepatcht als onderdeel van de Patch Tuesday-updates voor augustus 2024.
Voor een succesvolle exploitatie is het echter nodig dat een aanvaller een gebruiker ervan overtuigt om op een speciaal vervaardigde URL te klikken om de uitvoering van kwaadaardige code te starten.
Het AhnLab Security Intelligence Center (ASEC) en het National Cyber Security Center (NCSC) van de Republiek Korea, die de tekortkoming hebben ontdekt en gerapporteerd, hebben het activiteitencluster de naam Operation Code on Toast gegeven.
De organisaties volgen ScarCruft onder de naam TA-RedAnt, voorheen RedEyes genoemd. Het is ook bekend in de bredere cyberbeveiligingsgemeenschap onder de namen APT37, InkySquid, Reaper, Ricochet Chollima en Ruby Sleet.
De zero-day-aanval wordt “gekenmerkt door de exploitatie van een specifiek ’toast’-advertentieprogramma dat gewoonlijk wordt gebundeld met verschillende gratis software”, aldus ASEC in een verklaring gedeeld met The Hacker News. “Toast-advertenties verwijzen in Korea naar pop-upmeldingen die onder aan het pc-scherm verschijnen, meestal in de rechterbenedenhoek.”
Uit de door het Zuid-Koreaanse cyberbeveiligingsbedrijf gedocumenteerde aanvalsketen blijkt dat de dreigingsactoren de server van een niet bij naam genoemd binnenlands reclamebureau hebben gecompromitteerd dat inhoud aan de toastadvertenties levert met als doel exploitcode in het script van de advertentie-inhoud te injecteren.
Het beveiligingslek zou zijn geactiveerd toen het toastprogramma de boobytrap-inhoud van de server downloadde en weergeeft.
“De aanvaller richtte zich op een specifiek toastprogramma dat gebruikmaakt van een niet-ondersteunde (Internet Explorer) module om advertentie-inhoud te downloaden, aldus ASEC en NCSC in een gezamenlijk rapport over de dreigingsanalyse.
“Dit beveiligingslek zorgt ervoor dat de JavaScript-engine van IE (jscript9.dll) gegevenstypen onjuist interpreteert, wat resulteert in een typeverwarringsfout. De aanvaller misbruikte dit beveiligingslek om pc’s te infecteren waarop het kwetsbare toastprogramma was geïnstalleerd. Eenmaal geïnfecteerd werden pc’s onderworpen aan verschillende kwaadaardige activiteiten, waaronder toegang op afstand.”
De nieuwste versie van RokRAT kan bestanden opsommen, willekeurige processen beëindigen, opdrachten ontvangen en uitvoeren die zijn ontvangen van een externe server, en gegevens verzamelen van verschillende applicaties zoals KakaoTalk, WeChat en browsers zoals Chrome, Edge, Opera, Naver Wales en Firefox.
RokRAT valt ook op door het gebruik van legitieme cloudservices zoals Dropbox, Google Cloud, pCloud en Yandex Cloud als command-and-control-server, waardoor deze kan worden geïntegreerd in het reguliere verkeer in bedrijfsomgevingen.
Dit is niet de eerste keer dat ScarCruft kwetsbaarheden in de oudere browser heeft ingezet om vervolgmalware te leveren. De afgelopen jaren is dit toegeschreven aan de exploitatie van CVE-2020-1380, een andere fout in geheugenbeschadiging in Scripting Engine, en CVE-2022-41128, een kwetsbaarheid voor het uitvoeren van externe code in Windows Scripting Languages.
“Het technologische niveau van Noord-Koreaanse hackorganisaties is geavanceerder geworden en ze exploiteren naast Internet Explorer ook verschillende kwetsbaarheden”, aldus het rapport. “Dienovereenkomstig moeten gebruikers hun besturingssysteem en softwarebeveiliging bijwerken.”
