Устаревшие компоненты Internet Explorer продолжают представлять собой значительные риски, поскольку киберпреступники используют уязвимости в устаревшем программном обеспечении. Недавно северокорейская хакерская группа ScarCruft воспользовалась уязвимостью нулевого дня в Internet Explorer для распространения опасной версии вредоносного ПО, нацеливаясь на пользователей в Южной Корее и Европе через зараженные всплывающие объявления.
Атака связана с уязвимостью безопасности, зарегистрированной как CVE-2024-38178. Несмотря на то, что Microsoft официально прекратила поддержку браузера, многие сторонние приложения продолжают использовать его компоненты, создавая постоянные проблемы безопасности. ScarCruft, также известная как APT37, известна своими шпионскими действиями против политических целей, включая дезертиров и правозащитные организации.
В этой операции хакеры использовали уведомления 'Toast' — небольшие всплывающие окна, обычно видимые в настольных приложениях, для доставки вредоносного кода. Используя скомпрометированное южнокорейское рекламное агентство, они показывали объявления, содержащие скрытые iframe для эксплуатации уязвимости Internet Explorer, выполняя вредоносный JavaScript без взаимодействия пользователя, что делает это атакой 'zero-click'.
Вредоносное ПО, известное как RokRAT, предназначено для кражи конфиденциальной информации из зараженных систем, сосредоточив внимание на типах документов, таких как .doc, .xls и .txt. Оно эксфильтрует эти данные на облачные серверы, контролируемые злоумышленниками, и также включает функции для регистрации нажатий клавиш и захвата скриншотов.
После внедрения RokRAT использует несколько методов уклонения от обнаружения, включая инъекцию в системные процессы. Оно может обнаруживать антивирусное программное обеспечение и изменять свою стратегию заражения в зависимости от этого, обеспечивая постоянство через перезагрузки системы.
Несмотря на патч, выпущенный Microsoft в августе 2024 года для устранения уязвимости CVE-2024-38178, многие пользователи и поставщики программного обеспечения остаются без обновлений, что делает их уязвимыми. Зависимость от устаревших компонентов, особенно JScript9.dll, подчеркивает необходимость более строгого управления патчами в технологической индустрии. Этот инцидент подчеркивает, как устаревшее программное обеспечение остается значительным вектором для масштабных кампаний вредоносного ПО.