Nordkoreanische Cybergruppe nutzt Windows Zero-Day zur Verbreitung der RokRAT-Malware

In einer neuen Welle von Cyberangriffen wurde die nordkoreanische Hackergruppe ScarCruft mit der Ausnutzung einer Zero-Day-Sicherheitslücke in Windows in Verbindung gebracht. Dieser Fehler ermöglichte es Angreifern, eine gefährliche Malware namens RokRAT zu verbreiten. Obwohl die Sicherheitslücke mit der Bezeichnung CVE-2024-38178 gepatcht wurde, waren Systeme, die den Edge-Browser von Microsoft im Internet Explorer-Modus verwendeten, gefährdet.

Die Schwachstelle: CVE-2024-38178

Bei der Sicherheitslücke CVE-2024-38178 handelt es sich um ein Speicherbeschädigungsproblem in der Scripting Engine des Internet Explorer-Modus. Mit einem CVSS-Score von 7,5 stellte sie ein ernstes Sicherheitsrisiko dar. Bei Ausnutzung ermöglichte die Schwachstelle die Remotecodeausführung auf infizierten Rechnern. Dazu musste der Angreifer den Benutzer dazu verleiten, auf eine bösartige URL zu klicken. Sobald diese Aktion ausgeführt wurde, wurde bösartiger Code ausgeführt, wodurch das System angreifbar wurde.

Microsoft hat den Fehler in seinen Patch Tuesday-Updates vom August 2024 behoben. Vor dem Patch nutzte ScarCruft die Schwachstelle jedoch erfolgreich aus, um Malware zu verbreiten, die speziell auf Benutzer in Südkorea abzielte. Das AhnLab Security Intelligence Center (ASEC) und das National Cyber Security Center (NCSC) von Südkorea entdeckten und meldeten den Fehler. Sie nannten die Kampagne „Operation Code on Toast“.

ScarCrufts Angriffsstrategie

ScarCruft, auch bekannt unter anderen Pseudonymen wie APT37, RedEyes und InkySquid, ist dafür berüchtigt, Schwachstellen in veralteter oder nicht unterstützter Software auszunutzen. Diesmal beinhaltete ihre Strategie ein in Südkorea weit verbreitetes Toast-Werbeprogramm. Diese „Toast“-Anzeigen beziehen sich auf Popup-Benachrichtigungen, die in der unteren rechten Ecke des Bildschirms erscheinen.

In diesem Fall haben die Angreifer den Server einer inländischen Werbeagentur manipuliert. Sie haben Exploit-Code in das Skript eingeschleust, das die Toast-Anzeigen betrieb, und das daraufhin mit Sprengfallen versehene Inhalte heruntergeladen und dargestellt hat. Der Inhalt löste die Sicherheitslücke aus und zielte speziell auf die JavaScript-Engine des Internet Explorers (jscript9.dll) ab.

Die Rolle der RokRAT-Malware

Nachdem die Sicherheitslücke ausgenutzt wurde, installierte ScarCruft die RokRAT-Malware auf infizierten Rechnern. RokRAT ist eine vielseitige und gefährliche Malware, die mehrere Aktionen ausführen kann:

Einer der bemerkenswerten Aspekte von RokRAT ist die Verwendung legitimer Cloud-Dienste wie Dropbox, Google Cloud und Yandex Cloud als Command-and-Control-Server (C2). Dadurch kann sich die Malware in den normalen Netzwerkverkehr einfügen, was ihre Erkennung in Unternehmensumgebungen erschwert.

Frühere Exploits von ScarCruft

ScarCruft hat in der Vergangenheit Schwachstellen ausgenutzt, insbesondere in der Scripting Engine des Internet Explorers. In der Vergangenheit wurden sie mit der Ausnutzung von CVE-2020-1380 und CVE-2022-41128 in Verbindung gebracht. Diese Schwachstellen ermöglichten wie CVE-2024-38178 die Remotecodeausführung und wurden in ähnlicher Weise zur Verbreitung von Malware verwendet.

Verteidigung und Empfehlungen

Cybersicherheitsexperten warnen, dass nordkoreanische Bedrohungsakteure in den letzten Jahren raffinierter vorgegangen seien. Sie zielen nun auf ein breiteres Spektrum von Schwachstellen ab, nicht nur im Internet Explorer, sondern in verschiedenen Softwaresystemen.

Zum Schutz vor ähnlichen Angriffen sollten Organisationen und Einzelpersonen:

• Aktualisieren Sie Betriebssysteme und Software regelmäßig.
• Installieren Sie die neuesten Sicherheitspatches.
• Seien Sie vorsichtig, wenn Sie auf URLs klicken, insbesondere in Popup-Anzeigen.

Indem Benutzer ihre Systeme auf dem neuesten Stand halten und auf verdächtige Links achten, können sie die Risiken durch Gruppen wie ScarCruft verringern.