अपने परिष्कृत हमलों के लिए जाने जाने वाले, ScarCruft, जिसे APT37 या RedEyes भी कहा जाता है, ने यूरोप में मानवाधिकार कार्यकर्ताओं, दलबदलुओं और राजनीतिक संस्थाओं पर ध्यान केंद्रित करते हुए दक्षिण कोरियाई डिजिटल बुनियादी ढांचे को लक्षित किया है।
और पढ़ें
उत्तर कोरिया के राज्य से जुड़े हैकर समूह, स्कारक्रूफ्ट ने, RokRAT मैलवेयर को तैनात करने के लिए इंटरनेट एक्सप्लोरर की खामी का फायदा उठाते हुए, दक्षिण कोरिया के खिलाफ एक बड़ा साइबर-जासूसी अभियान शुरू किया है। अपने परिष्कृत हमलों के लिए जाने जाने वाले, ScarCruft, जिसे APT37 या RedEyes भी कहा जाता है, ने यूरोप में मानवाधिकार कार्यकर्ताओं, दलबदलुओं और राजनीतिक संस्थाओं पर ध्यान केंद्रित करते हुए दक्षिण कोरियाई डिजिटल बुनियादी ढांचे को लक्षित किया है।
इस नवीनतम अभियान, जिसे दिलचस्प रूप से “कोड ऑन टोस्ट” नाम दिया गया है, ने व्यापक रूप से उपयोग किए जाने वाले सिस्टम में अभी भी अंतर्निहित सॉफ़्टवेयर में कमजोरियों के बारे में गंभीर चिंताएं उठाई हैं, इंटरनेट एक्सप्लोरर की सेवानिवृत्ति के बाद भी.
नवीन “टोस्ट विज्ञापनों” के माध्यम से इंटरनेट एक्सप्लोरर का शोषण किया गया
ScarCruft का हमला इंटरनेट एक्सप्लोरर शून्य-दिन की भेद्यता के चतुर शोषण पर टिका है, जिसे CVE-2024-38178 के रूप में ट्रैक किया गया है, जिसका गंभीरता स्कोर 7.5 है। समूह ने शून्य-क्लिक संक्रमण विधि के माध्यम से चुपचाप मैलवेयर वितरित करने के लिए टोस्ट नोटिफिकेशन – आमतौर पर एंटीवायरस सॉफ़्टवेयर या उपयोगिता प्रोग्राम से हानिरहित पॉप-अप विज्ञापन – का लाभ उठाया।
हैकरों ने दक्षिण कोरियाई विज्ञापन एजेंसी के सर्वर से छेड़छाड़ की और देश में बड़े पैमाने पर उपयोग किए जाने वाले एक लोकप्रिय लेकिन अनाम मुफ्त सॉफ्टवेयर के माध्यम से दुर्भावनापूर्ण टोस्ट विज्ञापन वितरित किए। इन विज्ञापनों में एक जावास्क्रिप्ट फ़ाइल को ट्रिगर करने वाला एक छिपा हुआ आईफ्रेम था, जिसने इसके चक्र इंजन की JScript9.dll फ़ाइल में इंटरनेट एक्सप्लोरर भेद्यता का फायदा उठाया। इंटरनेट एक्सप्लोरर के 2022 में आधिकारिक तौर पर सेवानिवृत्त होने के बावजूद, विंडोज सिस्टम में इसके लंबे समय तक मौजूद घटकों ने इसे इस हमले का प्रमुख लक्ष्य बना दिया।
सिस्टम में इंजेक्ट किया गया दुर्भावनापूर्ण कोड खतरनाक रूप से परिष्कृत था, जो शोषण की अतिरिक्त परतों के साथ पहले के Microsoft सुरक्षा पैच को दरकिनार कर देता था। इस अभियान ने 2022 में इसी तरह की भेद्यता के स्कारक्राफ्ट के पिछले उपयोग को प्रतिबिंबित किया लेकिन पता लगाने से बचने के लिए नई तरकीबें जोड़ीं।
RokRAT मैलवेयर और इसके शक्तिशाली खतरे
एक बार भेद्यता का फायदा उठाने के बाद, ScarCruft ने RokRAT मैलवेयर को संक्रमित सिस्टम पर तैनात कर दिया। यह मैलवेयर निगरानी और डेटा चोरी के लिए एक शक्तिशाली उपकरण है। यह हर 30 मिनट में .doc, .xls और .ppt जैसे एक्सटेंशन वाली फ़ाइलों को Yandex क्लाउड सर्वर पर भेज देता है। फ़ाइल चोरी के अलावा, RokRAT कीस्ट्रोक्स रिकॉर्ड कर सकता है, क्लिपबोर्ड गतिविधि की निगरानी कर सकता है, और हर तीन मिनट में स्क्रीनशॉट ले सकता है, एक संपूर्ण निगरानी पैकेज प्रदान करता है।
संक्रमण प्रक्रिया चार चरणों में सामने आती है, जिसमें एंटीवायरस का पता लगाने से बचने के लिए पेलोड ‘explorer.exe’ प्रक्रिया के भीतर छिपे होते हैं। यदि अवास्ट या सिमेंटेक जैसे सुरक्षा उपकरणों का पता लगाया जाता है, तो मैलवेयर विंडोज सिस्टम फ़ोल्डर से यादृच्छिक निष्पादन योग्य में इंजेक्ट करके अनुकूलित हो जाता है। अंतिम पेलोड को स्टार्टअप फ़ोल्डर में रखकर, नियंत्रण बनाए रखने के लिए नियमित अंतराल पर चलाकर दृढ़ता सुनिश्चित की जाती है।
दक्षिण कोरिया चिंता की स्थिति में
ScarCruft द्वारा ऐसी उन्नत तकनीकों का उपयोग दक्षिण कोरिया के डिजिटल परिदृश्य के लिए बढ़ते खतरे को उजागर करता है।
पुरानी प्रणालियों को चरणबद्ध तरीके से ख़त्म करने के प्रयासों के बावजूद, विरासत घटकों में कमजोरियाँ जैसे इंटरनेट एक्सप्लोरर एक कमजोर बिंदु बना हुआ है। यह अभियान संगठनों के लिए अपडेट को प्राथमिकता देने और तेजी से परिष्कृत राज्य समर्थित साइबर खतरों के खिलाफ मजबूत साइबर सुरक्षा सुरक्षा बनाए रखने के लिए एक सख्त अनुस्मारक के रूप में कार्य करता है।
