Aktor ancaman Korea Utara yang dikenal sebagai ScarCruft telah dikaitkan dengan eksploitasi zero-day atas kelemahan keamanan yang sekarang telah ditambal di Windows untuk menginfeksi perangkat dengan malware yang dikenal sebagai RokRAT.
Kerentanan yang dimaksud adalah CVE-2024-38178 (skor CVSS: 7.5), bug kerusakan memori di Mesin Scripting yang dapat mengakibatkan eksekusi kode jarak jauh saat menggunakan browser Edge dalam Mode Internet Explorer. Itu ditambal oleh Microsoft sebagai bagian dari pembaruan Patch Tuesday untuk Agustus 2024.
Namun, eksploitasi yang berhasil memerlukan penyerang untuk meyakinkan pengguna agar mengklik URL yang dibuat khusus untuk memulai eksekusi kode berbahaya.
Pusat Intelijen Keamanan AhnLab (ASEC) dan Pusat Keamanan Siber Nasional (NCSC) Republik Korea, yang berjasa menemukan dan melaporkan kekurangan tersebut, telah menetapkan nama cluster aktivitas tersebut dengan nama Operation Code on Toast.
Organisasi-organisasi tersebut melacak ScarCruft dengan nama TA-RedAnt, yang sebelumnya disebut sebagai RedEyes. Ia juga dikenal di komunitas keamanan siber yang lebih luas dengan nama APT37, InkySquid, Reaper, Ricochet Chollima, dan Ruby Sleet.
Serangan zero-day ini “ditandai dengan eksploitasi program iklan ‘toast’ tertentu yang biasanya digabungkan dengan berbagai perangkat lunak gratis,” kata ASEC dalam sebuah pernyataan yang dibagikan kepada The Hacker News. “Iklan 'Toast', di Korea, mengacu pada notifikasi pop-up yang muncul di bagian bawah layar PC, biasanya di pojok kanan bawah.”
Rantai serangan yang didokumentasikan oleh perusahaan keamanan siber Korea Selatan menunjukkan bahwa pelaku ancaman menyusupi server biro iklan domestik yang tidak disebutkan namanya yang memasok konten ke iklan bersulang dengan tujuan menyuntikkan kode eksploitasi ke dalam skrip konten iklan.
Kerentanan dikatakan dipicu ketika program toast mengunduh dan merender konten jebakan dari server.
“Penyerang menargetkan program toast tertentu yang memanfaatkan program yang tidak didukung [Internet Explorer] modul untuk mengunduh konten iklan, kata ASEC dan NCSC dalam laporan analisis ancaman bersama.
“Kerentanan ini menyebabkan Mesin JavaScript IE (jscript9.dll) salah menginterpretasikan tipe data, mengakibatkan kesalahan kebingungan tipe. Penyerang mengeksploitasi kerentanan ini untuk menginfeksi PC dengan program toast yang diinstal. Setelah terinfeksi, PC akan terkena berbagai macam serangan.” aktivitas jahat, termasuk akses jarak jauh.”
Versi terbaru RokRAT mampu menghitung file, menghentikan proses sewenang-wenang, menerima dan menjalankan perintah yang diterima dari server jarak jauh, dan mengumpulkan data dari berbagai aplikasi seperti KakaoTalk, WeChat, dan browser seperti Chrome, Edge, Opera, Naver Wales, dan Firefox.
RokRAT juga terkenal karena menggunakan layanan cloud yang sah seperti Dropbox, Google Cloud, pCloud, dan Yandex Cloud sebagai server perintah dan kontrolnya, sehingga memungkinkannya untuk berbaur dengan lalu lintas reguler di lingkungan perusahaan.
Ini bukan pertama kalinya ScarCruft mempersenjatai kerentanan di browser lama untuk mengirimkan malware lanjutan. Dalam beberapa tahun terakhir, hal ini dikaitkan dengan eksploitasi CVE-2020-1380, kelemahan kerusakan memori lainnya di Scripting Engine, dan CVE-2022-41128, kerentanan eksekusi kode jarak jauh di Bahasa Skrip Windows.
“Tingkat teknologi organisasi peretasan Korea Utara telah menjadi lebih maju, dan mereka mengeksploitasi berbagai kerentanan selain [Internet Explorer],” kata laporan itu. “Oleh karena itu, pengguna harus memperbarui sistem operasi dan keamanan perangkat lunak mereka.”