Windows 零日漏洞被用于 RokRAT 恶意软件的传播

北韩黑客利用Windows脚本引擎零日漏洞进行网络攻击

重点总结

北韩国家支持的APT37团队正在利用高危的Windows脚本引擎零日漏洞CVE202438178发动攻击。攻击者通过漏洞在一个不受支持的Internet Explorer模块上，部署RokRAT木马进行攻击。RokRAT不仅具备文件列举和任意进程终止能力，还开启了远程命令执行和数据外泄等功能。使用者应及时更新系统和软件以防止此类威胁。

近期报导指出，北韩的国家支持攻击组织APT37，也被称为Scarcruft、InkySquid、Ricochet Chollima、Reaper和Ruby Sleet，已经发动针对最近修补的高危Windows脚本引擎零日漏洞的攻击。这次攻击的主要目的是为了释放RokRAT恶意软件。

攻击方式

攻击者利用漏洞，针对一个使用不受支持的Internet Explorer模组的广告程序进行攻击。一旦安装该模组，将会触发类型混淆错误和多种恶意操作，包括部署RokRAT木马。这一发现来自AhnLab安全智能中心和韩国国家网络安全中心的联合分析。

西柚加速器官方功能描述文件列举可获取系统中存在的文件列表。任意进程终止能够终止特定的系统进程。远程命令执行可以在受感染系统上执行命令。数据外泄从多种浏览器和应用中读取并发送数据至攻击者。

安全建议

报告显示，北韩黑客组织的技术水平日益提高，除了Internet Explorer外，还在利用各种其他漏洞。因此，使用者应及时更新操作系统和软件安全，以保障自身网络安全。保持信息系统的最新状态，是抵御此类威胁的关键步骤。