Un groupe cybernétique nord-coréen exploite une faille zero-day de Windows pour diffuser le malware RokRAT
Dans une nouvelle vague de cyberattaques, le groupe de hackers nord-coréen ScarCruft a été lié à l'exploitation d'une vulnérabilité zero-day dans Windows . Cette faille a permis aux attaquants de diffuser un dangereux malware connu sous le nom de RokRAT . Bien qu'elle ait été corrigée, la vulnérabilité, identifiée comme CVE-2024-38178, a exposé les systèmes utilisant le navigateur Edge de Microsoft en mode Internet Explorer.
Table des matières
La vulnérabilité : CVE-2024-38178
La vulnérabilité CVE-2024-38178 est un problème de corruption de mémoire dans le moteur de script du mode Internet Explorer. Avec un score CVSS de 7,5, elle représentait un risque de sécurité grave. Si elle était exploitée, la faille permettait l'exécution de code à distance sur les machines compromises. Pour cela, l'attaquant devait inciter l'utilisateur à cliquer sur une URL malveillante. Une fois cette action effectuée, le code malveillant s'exécutait, laissant le système vulnérable.
Microsoft a corrigé cette faille dans ses mises à jour Patch Tuesday d'août 2024. Cependant, avant la publication du correctif, ScarCruft a exploité avec succès cette vulnérabilité pour diffuser des logiciels malveillants, ciblant spécifiquement les utilisateurs en Corée du Sud. Le centre de renseignement de sécurité AhnLab (ASEC) et le centre national de cybersécurité (NCSC) de Corée du Sud ont découvert et signalé la faille. Ils ont baptisé la campagne « Operation Code on Toast ».
Stratégie d'attaque de ScarCruft
ScarCruft, également connu sous d'autres pseudonymes tels que APT37, RedEyes et InkySquid, est connu pour exploiter les vulnérabilités de logiciels obsolètes ou non pris en charge. Cette fois, leur stratégie impliquait un programme de publicité toast couramment utilisé en Corée du Sud. Ces publicités « toast » font référence à des notifications contextuelles qui apparaissent dans le coin inférieur droit de l'écran.
Dans ce cas, les attaquants ont compromis le serveur d'une agence de publicité nationale. Ils ont injecté un code d'exploitation dans le script qui alimentait les publicités Toast, qui ont ensuite téléchargé et affiché le contenu piégé. Le contenu a déclenché la vulnérabilité, ciblant spécifiquement le moteur JavaScript d'Internet Explorer (jscript9.dll).
Le rôle du malware RokRAT
Une fois la vulnérabilité exploitée, ScarCruft a installé le malware RokRAT sur les machines infectées. RokRAT est un malware polyvalent et dangereux capable de plusieurs actions :
L'un des aspects notables de RokRAT est son utilisation de services cloud légitimes comme Dropbox, Google Cloud et Yandex Cloud comme serveurs de commande et de contrôle (C2). Cela permet au malware de se fondre dans le trafic réseau normal, ce qui le rend difficile à détecter dans les environnements d'entreprise.
Exploits précédents de ScarCruft
ScarCruft a déjà exploité des vulnérabilités, notamment dans le moteur de script d'Internet Explorer. Par le passé, ces vulnérabilités étaient liées à l'exploitation des vulnérabilités CVE-2020-1380 et CVE-2022-41128. Ces vulnérabilités, comme CVE-2024-38178, permettaient l'exécution de code à distance et étaient également utilisées pour diffuser des logiciels malveillants.
Défense et recommandations
Les experts en cybersécurité préviennent que les cybercriminels nord-coréens sont devenus plus sophistiqués ces dernières années. Ils ciblent désormais un plus large éventail de vulnérabilités, non seulement dans Internet Explorer, mais également dans divers systèmes logiciels.
Pour se protéger contre des attaques similaires, les organisations et les individus doivent :
- Mettez à jour régulièrement les systèmes d’exploitation et les logiciels.
- Installez les derniers correctifs de sécurité.
- Soyez prudent lorsque vous cliquez sur des URL, en particulier dans les publicités pop-up.
En gardant les systèmes à jour et en étant conscients des liens suspects, les utilisateurs peuvent atténuer les risques posés par des groupes comme ScarCruft.