北朝鮮のサイバー集団がWindowsのゼロデイ脆弱性を悪用しRokRATマルウェアを拡散

新たなサイバー攻撃の波の中で、北朝鮮のハッカー集団「ScarCruft」がWindows のゼロデイ脆弱性を悪用したとされている。この欠陥により、攻撃者はRokRATと呼ばれる危険なマルウェアを拡散することができた。パッチは適用されているものの、CVE-2024-38178 として特定されたこの脆弱性により、Internet Explorer モードで Microsoft Edge ブラウザを使用しているシステムが危険にさらされた。

脆弱性: CVE-2024-38178

CVE-2024-38178 の脆弱性は、Internet Explorer モードのスクリプト エンジンにおけるメモリ破損の問題です。CVSS スコアは 7.5 で、深刻なセキュリティ リスクをもたらします。この脆弱性が悪用されると、侵害されたマシンでリモート コード実行が可能になります。攻撃者は、ユーザーを騙して悪意のある URL をクリックさせる必要があります。この操作が実行されると、悪意のあるコードが実行され、システムが脆弱になります。

Microsoft は、2024 年 8 月の Patch Tuesday アップデートでこの脆弱性に対処しました。しかし、パッチが公開される前に、ScarCruft がこの脆弱性を悪用してマルウェアを拡散し、特に韓国のユーザーをターゲットにしていました。この脆弱性を発見し、報告したのは、韓国の AhnLab Security Intelligence Center (ASEC) と National Cyber Security Center (NCSC) です。彼らはこのキャンペーンを「Operation Code on Toast」と名付けました。

スカークラフトの攻撃戦略

ScarCruft は、APT37、RedEyes、InkySquid などの別名でも知られ、古いソフトウェアやサポートされていないソフトウェアの脆弱性を悪用することで有名です。今回の彼らの戦略には、韓国でよく使用されているトースト広告プログラムが関係していました。これらの「トースト」広告は、画面の右下隅に表示されるポップアップ通知を指します。

このケースでは、攻撃者は国内の広告代理店のサーバーを侵害しました。攻撃者は、トースト広告を実行するスクリプトにエクスプロイト コードを挿入し、不正なコンテンツをダウンロードしてレンダリングしました。このコンテンツが脆弱性を引き起こし、具体的には Internet Explorer の JavaScript エンジン (jscript9.dll) を標的としていました。

RokRATマルウェアの役割

脆弱性が悪用されると、ScarCruft は感染したマシンに RokRAT マルウェアをインストールしました。RokRAT は、次のような複数のアクションを実行できる多機能で危険なマルウェアです。

RokRAT の注目すべき特徴の 1 つは、Dropbox、Google Cloud、Yandex Cloud などの正規のクラウド サービスをコマンド アンド コントロール (C2) サーバーとして使用することです。これにより、マルウェアは通常のネットワーク トラフィックに溶け込み、企業環境で検出することが困難になります。

ScarCruft による以前のエクスプロイト

ScarCruft は、特に Internet Explorer のスクリプト エンジンの脆弱性を悪用した経歴があります。過去には、CVE-2020-1380 および CVE-2022-41128 の悪用と関連付けられました。これらの脆弱性は、CVE-2024-38178 と同様に、リモート コード実行を可能にし、同様にマルウェアの拡散に使用されました。

弁護と勧告

サイバーセキュリティの専門家は、北朝鮮の脅威アクターが近年さらに巧妙化していると警告している。彼らは現在、Internet Explorer だけでなく、さまざまなソフトウェア システムのより広範な脆弱性を狙っている。

同様の攻撃から身を守るために、組織や個人は次のことを行う必要があります。

• オペレーティング システムとソフトウェアを定期的に更新します。
• 最新のセキュリティパッチをインストールしてください。
• 特にポップアップ広告内の URL をクリックするときは注意してください。

システムを最新の状態に保ち、疑わしいリンクに注意することで、ユーザーは ScarCruft のようなグループがもたらすリスクを軽減できます。