Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 19 Ottobre 2024 12:28
Nel maggio di quest’anno, il gruppo nordcoreano ScarCruft ha effettuato un attacco su larga scala durante il quale ha utilizzato un 0-day in Internet Explorer per infettare macchine RokRAT target e rubare dati, ha avvertito il Centro nazionale per la sicurezza informatica della Corea del Sud (NCSC) e AhnLab (ASEC).
Il gruppo ScarCruft (noto anche come APT37, InkySquid e RedEyes) è tipicamente specializzato in spionaggio informatico e attacchi ai sistemi in Corea del Sud e in Europa utilizzando phishing, attacchi Watering Hole e vulnerabilità zero-day.
Un nuovo rapporto di NCSC e ASEC descrive la recente campagna Code on Toast di ScarCruft, in cui gli hacker hanno utilizzato notifiche pop-up di toast per lanciare attacchi 0clic.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità utilizzata da ScarCruft nei suoi attacchi è monitorata con il CVE-2024-38178 ed è un bug di Type Confusion in Internet Explorer. Dopo aver scoperto la campagna dannosa, i ricercatori hanno informato Microsoft del problema, che ha rilasciato una patch per CVE-2024-38178 nell’agosto 2024.
In tal modo, gli esperti hanno scoperto che l’exploit di ScarCruft è molto simile a quello utilizzato dagli hacker in passato per sfruttare il problema CVE-2022-41128, con l’unica aggiunta di tre righe di codice progettate per aggirare le precedenti patch Microsoft.
Le notifiche toast sono finestre popup che appaiono nell’angolo dei programmi per visualizzare notifiche, avvisi o annunci pubblicitari. “In Corea, le notifiche pop-up si riferiscono a notifiche pop-up che in genere appaiono nella parte inferiore dello schermo di un PC (di solito nell’angolo in basso a destra)”, scrivono i ricercatori.
Secondo AhnLab gli aggressori hanno compromesso appositamente il server di una determinata agenzia pubblicitaria per visualizzare annunci pubblicitari dannosi in un software gratuito senza nome, popolare in Corea del Sud e che utilizza un modulo IE obsoleto per caricare contenuti pubblicitari.
Questi annunci contenevano un iframe dannoso che, quando visualizzato in Internet Explorer, richiamava un file JavaScript denominato ad_toast per eseguire l’esecuzione di codice in modalità remota e sfruttare CVE-2024-38178 in Internet Explorer JScript9.dll.
Di conseguenza, il computer della vittima è stato penetrato dal malware RokRAT, che ScarCruft utilizza da anni nei suoi attacchi. Il compito principale di RokRAT è inviare file corrispondenti (inclusi .doc, .mdb, .xls, .ppt, .txt, .amr) al cloud ogni 30 minuti.
Inoltre, il malware può intercettare i tasti premuti, monitorare le modifiche negli appunti, acquisire schermate ogni tre minuti, può interrompere processi arbitrari, ricevere ed eseguire comandi dai suoi operatori e raccogliere dati da varie applicazioni, tra cui KakaoTalk e WeChat, nonché browser (Chrome, Edge, Opera, Naver Wales e Firefox).
Sebbene Microsoft abbia disattivato Internet Explorer a metà del 2022, molti componenti del browser sono ancora utilizzati in Windows e nei software di terze parti, consentendo agli hacker di trovare nuove superfici di attacco.
Quel che è peggio è che, sebbene Microsoft abbia risolto il problema CVE-2024-38178 già in agosto, ciò non garantisce che la patch venga immediatamente implementata in altri software che utilizzano componenti obsoleti. Allo stesso tempo, gli utenti potrebbero non sospettare nemmeno di utilizzare un software che utilizza componenti IE obsoleti e pericolosi.
RedazioneLa saga sulla sicurezza dei componenti di React Server continua questa settimana. Successivamente alla correzione di una vulnerabilità critica relativa all’esecuzione di codice remoto (RCE) che ha ...
Un nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
