Kelompok Korea Utara Sebar Malware RokRAT Lewat Celah Zero-Day

Aktor ancaman siber asal Korea Utara yang dikenal dengan nama ScarCruft kembali muncul dengan serangan eksploitasi zero-day, kali ini memanfaatkan celah keamanan di Windows untuk menyebarkan malware berbahaya yang disebut RokRAT. 

Kerentanan yang mereka manfaatkan adalah CVE-2024-38178, sebuah bug memory corruption di Scripting Engine yang memiliki skor CVSS 7,5. Bug ini dapat memicu eksekusi kode jarak jauh ketika pengguna mengaksesnya melalui browser Edge dalam mode Internet Explorer. Meskipun celah ini telah diperbaiki oleh Microsoft dalam pembaruan Patch Tuesday pada Agustus 2024, eksploitasi yang berhasil memerlukan aksi pengguna untuk mengklik URL berbahaya yang sudah dirancang khusus.

Penemuan kerentanan ini pertama kali dilaporkan oleh AhnLab Security Intelligence Center (ASEC) dan National Cyber Security Center (NCSC) dari Korea Selatan. Kelompok ancaman ini mengoperasikan kampanye siber yang mereka beri nama "Operation Code on Toast." ScarCruft sendiri juga dikenal dengan beberapa nama lain di dunia keamanan siber, termasuk APT37, RedEyes, InkySquid, Reaper, Ricochet Chollima, dan Ruby Sleet.

Salah satu ciri utama serangan ini adalah pemanfaatan program iklan “toast” di Korea Selatan, yang merujuk pada notifikasi pop-up yang muncul di pojok bawah layar PC. ASEC mengungkapkan bahwa kelompok ini menyusup ke server dari sebuah agen iklan domestik yang tidak disebutkan namanya, yang menyediakan konten untuk iklan toast tersebut. Pelaku berhasil menyuntikkan kode eksploit ke dalam skrip iklan, sehingga ketika program toast mengunduh dan menampilkan konten yang terinfeksi dari server, malware mulai dijalankan.

Lebih lanjut, laporan bersama dari ASEC dan NCSC menyebutkan bahwa program toast yang menjadi target memanfaatkan modul Internet Explorer yang sudah tidak didukung untuk mengunduh konten iklan. Saat program tersebut memproses konten berbahaya, terjadi kesalahan tipe data di dalam mesin JavaScript Internet Explorer (jscript9.dll), yang akhirnya menyebabkan type confusion error. Celah inilah yang kemudian dieksploitasi oleh ScarCruft untuk menginfeksi perangkat dengan program toast yang rentan. Setelah terinfeksi, perangkat tersebut menjadi sasaran berbagai aktivitas berbahaya, termasuk akses jarak jauh.

Varian terbaru RokRAT, malware yang disebarkan melalui serangan ini, memiliki kemampuan yang sangat canggih. Malware ini dapat melakukan enumerasi file, menghentikan proses tertentu, menerima dan menjalankan perintah dari server jarak jauh, serta mengumpulkan data dari berbagai aplikasi seperti KakaoTalk, WeChat, dan sejumlah browser populer seperti Chrome, Edge, Opera, Naver Wales, dan Firefox. Malware ini bahkan memanfaatkan layanan cloud yang sah, seperti Dropbox, Google Cloud, pCloud, dan Yandex Cloud, sebagai server command-and-control (C2). Dengan cara ini, RokRAT mampu bersembunyi di balik lalu lintas jaringan normal, terutama dalam lingkungan perusahaan, sehingga lebih sulit terdeteksi.

Eksploitasi celah keamanan oleh ScarCruft bukanlah hal baru. Sebelumnya, kelompok ini juga diketahui memanfaatkan beberapa kerentanan serupa, seperti CVE-2020-1380, sebuah bug memory corruption di Scripting Engine, dan CVE-2022-41128, yang merupakan celah eksekusi kode jarak jauh di Windows Scripting Languages. Hal ini menunjukkan bahwa kelompok ini secara konsisten mengeksploitasi kelemahan di peramban lawas untuk menyebarkan malware berbahaya.

Dalam laporan ancaman bersama, para peneliti dari ASEC dan NCSC mencatat bahwa tingkat teknologi kelompok peretas Korea Utara ini semakin maju, dan mereka kini tidak hanya mengandalkan eksploitasi di Internet Explorer, tetapi juga memanfaatkan berbagai kerentanan lainnya. Oleh karena itu, sangat penting bagi pengguna untuk selalu memperbarui sistem operasi dan perangkat lunak keamanan mereka agar terlindungi dari ancaman terbaru.

Kasus eksploitasi zero-day ini menjadi pengingat akan pentingnya menjaga perangkat tetap diperbarui dengan patch keamanan terbaru. Serangan yang memanfaatkan kerentanan di perangkat lunak bisa terjadi kapan saja, dan aktor ancaman seperti ScarCruft terus berupaya menemukan cara-cara baru untuk mengeksploitasi kelemahan demi melancarkan aksinya. Dengan terus meningkatkan langkah-langkah keamanan, seperti memperbarui sistem secara berkala dan menggunakan solusi keamanan yang handal, pengguna dapat mengurangi risiko menjadi korban serangan semacam ini.