Il gruppo di cybercriminali nordcoreani noto come ScarCruft è stato recentemente collegato allo sfruttamento di una vulnerabilità zero-day in Windows, ora risolta, per diffondere il malware RokRAT. La vulnerabilità, identificata come CVE-2024-38178, è un bug di corruzione della memoria nel motore di scripting che potrebbe portare all'esecuzione remota di codice quando si utilizza il browser Edge in modalità Internet Explorer. Microsoft ha risolto questo problema con gli aggiornamenti Patch Tuesday di agosto 2024. Tuttavia, per sfruttare con successo questa vulnerabilità, è necessario che l'attaccante convinca un utente a cliccare su un URL appositamente creato per avviare l'esecuzione del codice malevolo.

Operation Code on Toast

Il Centro di Sicurezza dell'Intelligence AhnLab (ASEC) e il Centro Nazionale di Sicurezza Informatica (NCSC) della Repubblica di Corea, che hanno scoperto e segnalato il difetto, hanno nominato l'attività "Operation Code on Toast". ScarCruft è monitorato con il nome TA-RedAnt, precedentemente noto come RedEyes e riconosciuto nella comunità di cybersecurity con altri nomi come APT37, InkySquid, Reaper, Ricochet Chollima e Ruby Sleet. L'attacco zero-day è caratterizzato dallo sfruttamento di un programma pubblicitario "toast", comunemente associato a vari software gratuiti. In Corea, "toast" si riferisce alle notifiche pop-up che appaiono nella parte inferiore dello schermo del PC, tipicamente nell'angolo in basso a destra.

Compromissione del server e iniezione di codice

La catena di attacco documentata mostra che i cybercriminali hanno compromesso il server di un'agenzia pubblicitaria domestica non specificata, che fornisce contenuti agli annunci toast, con l'obiettivo di iniettare codice exploit nel script del contenuto pubblicitario. La vulnerabilità si attiva quando il programma toast scarica e rende il contenuto trappola dal server. L'attaccante ha preso di mira un programma toast specifico che utilizza un modulo di Internet Explorer non supportato per scaricare contenuti pubblicitari. Questo problema causa un errore di confusione dei tipi nel motore JavaScript di IE (jscript9.dll), che l'attaccante ha sfruttato per infettare i PC con il programma toast vulnerabile installato. Una volta infettati, i PC erano soggetti a varie attività malevole, inclusi accessi remoti.

Funzionalità avanzate di RokRAT

L'ultima versione di RokRAT è in grado di enumerare file, terminare processi arbitrari, ricevere ed eseguire comandi da un server remoto, e raccogliere dati da varie applicazioni come KakaoTalk, WeChat e browser come Chrome, Edge, Opera, Naver Wales, e Firefox. RokRAT si distingue anche per l'utilizzo di servizi cloud legittimi come Dropbox, Google Cloud, pCloud e Yandex Cloud come server di comando e controllo, permettendo di mimetizzarsi con il traffico regolare negli ambienti aziendali. ScarCruft è noto per aver sfruttato vulnerabilità nei browser legacy per distribuire malware in passato, come dimostrato dagli attacchi legati a CVE-2020-1380 e CVE-2022-41128. Il rapporto sottolinea come il livello tecnologico delle organizzazioni di hacking nordcoreane si sia evoluto, sfruttando varie vulnerabilità oltre a Internet Explorer.