北朝鮮のハッカー集団「ScarCruft」は5月、Internet Explorerのゼロデイ欠陥を利用して、標的をマルウェア「RokRAT」に感染させ、データを流出させる大規模な攻撃を開始した。
ScarCruft(別名「APT37」または「RedEyes」)は、フィッシング、水飲み場、Internet Explorerのゼロデイを利用して、韓国や ヨーロッパのシステム、北朝鮮の人権活動家や脱北者を標的としていることで知られる、国家に支援されたサイバースパイの脅威行為者です。
韓国のNational Cyber Security Center(NCSC)とAhnLab(ASEC)による新しい共同レポートでは、「Code on Toast」と名付けられた最近のScarCruftキャンペーンの概要が紹介されており、トーストのポップアップ広告を利用してゼロクリックでマルウェア感染を実行していました。
ゼロデイ攻撃で使用された欠陥は、CVE-2024-38178として追跡されており、Internet Explorerにおける深刻度の高いタイプの混乱の欠陥です。
このキャンペーンに対応したASECとNCSCは直ちにマイクロソフト社に報告し、技術大手は2024年8月にCVE-2024-39178に対応するセキュリティ・アップデートをリリースした。
興味深いことに、研究者たちは、ScarCruftのエクスプロイトが、過去に彼らがCVE-2022-41128で使用したものと非常によく似ていることを発見した。
トースト広告」からマルウェアへ
トースト通知は、アンチウイルスや無料のユーティリティ・プログラムなどのソフトウェアの隅に表示されるポップアップで、通知や警告、広告を表示する。
AhnLabによると、APT37は国内の広告代理店のサーバーの1つを侵害し、多数の韓国人が使用している無名のフリーソフトウェアに特別に細工された「トースト広告」をプッシュさせました。
これらの広告には悪意のあるiframeが含まれており、Internet Explorerでレンダリングされると、「ad_toast」という名前のJavaScriptファイルによって、Internet ExplorerのJScript9.dllファイル(Chakraエンジン)に存在するCVE-2024-39178の欠陥を介してリモートでコードが実行されるようになっていました。
この攻撃で投下されたマルウェアは、ScarCruftが数年前から攻撃に使用しているRokRATの亜種です。
RokRATの主な役割は、20の拡張子(.doc、.mdb、.xls、.ppt、.txt、.amrを含む)に一致するファイルを30分ごとにYandexクラウドインスタンスに流出させることです。
このマルウェアはまた、キーロギング、クリップボードの変更の監視、スクリーンショットのキャプチャ(3分ごと)を実行する。
感染は4段階のプロセスで実行され、同数のペイロードが「explorer.exe」プロセスに注入され、セキュリティツールによる検出を回避する。
AvastまたはSymantecアンチウイルスがホスト上で検出されると、マルウェアは代わりにC:˶Windowssystem32フォルダのランダムな実行ファイルに注入されます。
Windowsのスタートアップに最終的なペイロード(‘rubyw.exe’)を追加し、4分ごとにシステムのスケジューラーで実行するように登録することで、永続性を実現しています。
マイクロソフトが2022年半ばにインターネット・エクスプローラーの引退を発表したにもかかわらず、ブラウザーのコンポーネントの多くはWindowsに残っているか、サードパーティーのソフトウェアによって使用されているため、脅威行為者は攻撃に使用するための新しい脆弱性を発見することができる。
このような事態は、ゼロクリック攻撃に悪用されやすい時代遅れのソフトウェアを使用していることにユーザーが気づかないうちに発生している可能性があり、知識のある脅威行為者による大規模な悪用の素地を作っている。
さらに悪いことに、マイクロソフトがこの特定のInternet Explorerの欠陥を8月に修正したとはいえ、古いコンポーネントを使用しているツールに直ちに採用される保証はない。そのため、古いInternet Explorerコンポーネントを使用したフリーソフトウェアは、ユーザーを危険にさらし続けている。
影響を受けたユーザーの数と悪用されたフリーソフトウェアの名前については、ASECにお問い合わせください。
Comments