Le groupe de piratage nord-coréen ScarCruft a lancé une attaque à grande échelle en mai qui a exploité une faille zero-day d’Internet Explorer pour infecter des cibles avec le malware RokRAT et exfiltrer des données.

ScarCruft (alias « APT37 » ou « RedEyes ») est un acteur de menace de cyberespionnage parrainé par l’État connu pour cibler les systèmes en Corée du Sud et en Europe, ainsi que les militants des droits de l’homme et les transfuges nord-coréens, en utilisant le phishing, l’abreuvoir et Internet Explorer zero-days.

Un nouveau rapport conjoint du Centre national de cybersécurité de Corée du Sud (NCSC) et d’AhnLab (ASEC) décrit une récente campagne ScarCruft baptisée « Code on Toast », qui a tiré parti des publicités contextuelles toast pour effectuer des infections de logiciels malveillants sans clic.

La faille utilisée dans les attaques zero-day est suivie comme CVE-2024-38178 et est une faille de confusion de type de gravité élevée dans Internet Explorer.

L’ASEC et le NCSC, répondant à la campagne, ont immédiatement informé Microsoft, et le géant de la technologie a publié une mise à jour de sécurité pour résoudre le problème CVE-2024-39178 en août 2024.

Fait intéressant, les chercheurs ont découvert que l’exploit de ScarCruft était très similaire à celui qu’ils utilisaient dans le passé pour CVE-2022-41128, le seul ajout étant trois lignes de code conçues pour contourner les correctifs précédents de Microsoft.

Des « publicités Toast » aux logiciels malveillants
Les notifications Toast sont des fenêtres contextuelles affichées dans le coin d’un logiciel tel qu’un antivirus ou des utilitaires gratuits pour afficher des notifications, des alertes ou des publicités.

Selon AhnLab, APT37 a compromis l’un des serveurs d’une agence de publicité nationale pour diffuser des « publicités Toast » spécialement conçues sur un logiciel gratuit anonyme utilisé par un grand nombre de Sud-Coréens.

Ces publicités comprenaient une iframe malveillante qui, lorsqu’elle était rendue par Internet Explorer, provoquait l’exécution d’un fichier JavaScript nommé « ad_toast » via la faille CVE-2024-39178 dans le JScript9 d’Internet Explorer.fichier dll (moteur de Chakra).

Le malware lâché lors de cette attaque est une variante de RokRAT, que ScarCruft utilise dans des attaques depuis plusieurs années maintenant.

Le rôle principal de RokRAT est d’exfiltrer les fichiers correspondant à 20 extensions (y compris .docteur, .bmd, .xls, .ppt, .SMS, .amr) vers une instance Yandex cloud toutes les 30 minutes.

Le logiciel malveillant effectue également un enregistrement de frappe, surveille les modifications apportées au presse-papiers et capture des captures d’écran (toutes les 3 minutes).

Chaîne d’attaque d’APT 37

L’infection est effectuée via un processus en quatre étapes où un nombre égal de charges utiles sont injectées dans l’explorateur.processus exe’, échappant à la détection par les outils de sécurité.

Si l’antivirus Avast ou Symantec est détecté sur l’hôte, le logiciel malveillant est injecté dans un exécutable aléatoire à partir du C:\Windows\system32 dossier à la place.

La persistance est obtenue en ajoutant une charge utile finale (‘rubyw.exe’) au démarrage de Windows et l’enregistrer pour exécution dans le planificateur du système toutes les quatre minutes.

Bien que Microsoft ait annoncé le retrait d’Internet Explorer à la mi-2022, de nombreux composants du navigateur restent dans Windows ou sont utilisés par des logiciels tiers, ce qui permet aux auteurs de menaces de découvrir de nouvelles vulnérabilités à utiliser dans des attaques.

Cela peut se produire sans même que les utilisateurs se rendent compte qu’ils utilisent des logiciels obsolètes qui peuvent être facilement exploités pour des attaques sans clic, ouvrant la voie à une exploitation à grande échelle par des acteurs malveillants compétents.

Ce qui aggrave la situation, c’est que même si Microsoft a corrigé cette faille particulière d’Internet Explorer en août, il ne garantit pas qu’elle sera adoptée immédiatement par des outils utilisant des composants plus anciens. Par conséquent, les logiciels libres utilisant des composants obsolètes d’Internet Explorer continuent de mettre les utilisateurs en danger.

Breachtrace a demandé à l’ASEC le nombre d’utilisateurs impactés et le nom du logiciel libre exploité, et nous vous fournirons plus d’informations dès qu’elles seront disponibles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *