Hjem > Cyber ​​Nyheder > CVE-2018-4878: North Korean ScarCruft Hackere Udfør Bluetooth Høst
CYBER NEWS

CVE-2018-4878: North Korean ScarCruft Hackere Udfør Bluetooth Høst

Den nordkoreanske hacker kollektiv kaldet ScarCruft har vist sig at bruge en ny infiltration enhed - en Bluetooth høst værktøj giver dem mulighed for at erhverve en masse følsomme oplysninger om offeret enheder. Gruppen er alternativt kendt som APT37, Mejer eller Group123.

CVE-2018-4878: ScarCruft Hackere Nu Spy Via Bluetooth-enhed Høst

De ScarCruft hackere synes at være indstillet til at angribe forskellige andre mål igen, ligner andre hacking grupper er det kendt for at handle i organiserede og koordinerede kampagner. Holdet af kriminelle er meget erfarne og ellers kendt som APT37, Reaper og Group123. Den sikkerhed rapporter viser viser så langt, at gruppen har været aktiv siden i hvert fald 2012 mens deres handlinger først blev dokumenteret i 2016.

Hidtil, hackerne har primært sigtet højt profilerede mål i Sydkorea: regering, forsvar, medier og militære organisationer.
Angrebene, der er fundet tilskrives gruppen som det passer tre kriterier: angrebene bruger en nordkoreansk IP, indberetningsark tidsstempler på den anvendte malware svare til en nordkoreansk tidszone. Også målene for trussel synes at være på linje med de interesser nordkoreanske regering. Koordinerede kampagner blev gjort mod Japan, Vietnam og Mellemøsten tilbage i 2017 samt. Mange af de seneste angreb har brugt zero-day sårbarheder og trojanske heste.




Den seneste udbrud af angreb synes at være ved hjælp af en ny enhed mejetærsker sofistikeret Bluetooth. Kampagnerne er sat mod højt profilerede mål - en diplomatisk agentur i Hong Kong og en anden i Nordkorea. Det menes, at de oplysninger, der er udvundet kræves af efterretningstjenester i Nordkorea.

Malware der er forbundet med gruppen anvender Bluetooth for at erhverve information om anordningerne, som det anvender den trådløse teknologi den angribende enhed bliver nødt til at tigge i umiddelbar nærhed af målene. Det interessante ved det er, at malware vil blive downloadet til en computer eller enhed, hvorfra angrebene påbegyndes. Bluetooth mejetærsker leveres til offeret systemer via en rettighedsforøgelse bug eller via en Windows UAC bypass. Fejlen, som målrettes, er beskrevet i CVE-2018-8120 rådgivende:

En udvidelse af rettigheder, sårbarhed i Windows, når den Win32k komponent ikke korrekt håndtere objekter i hukommelsen, aka “Win32k udvidelse af rettigheder Sårbarhed.” Dette påvirker Windows Server 2008, Vinduer 7, Windows Server 2008 R2

Den malware vil derefter hente et billede, der vil hente den endelige nyttelast. Den eksekverbare vil bruge den indbyggede konfigurationsfil og oprette forbindelse til den relevante hacker-kontrollerede server. Den inficerede system vil undgå opdagelse netværk niveau ved hjælp af en steganografi tilgang. Bluetooth mejetærsker er i stand til at opfange en masse følsomme oplysninger om offeret enheder og / eller deres brugere. Den endelige nyttelast er en bagdør kaldet ROKRAT som bruges som en trojansk som vil gøre det muligt for hackere at udspionere ofrene, implementere andre trusler og stjæle filer.

Martin Beltov

Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig