so dass ein Bluetooth-Erntewerkzeug ihnen eine Menge von sensiblen Informationen über die Opfer Geräte erwerben - Das nordkoreanische Hacker Kollektiv als ScarCruft bekannt wurde eine neue Infiltrationsvorrichtung verwenden gefunden. Die Gruppe ist alternativ bekannt als APT37, Reaper oder Group123.
CVE-2018-4878: ScarCruft Hacker Jetzt Spy Via Bluetooth-Gerät Harvesting
Die ScarCruft Hacker scheinen gesetzt werden, sobald verschiedene andere Ziele angreifen wieder, ähnlich wie bei anderen ist es Hacking Gruppen bekannt in organisierten und koordinierten Kampagnen zu handeln. Das Team von Kriminellen ist sehr erfahrene und sonst bekannt als APT37, Reaper und Group123. Die Sicherheitsberichte zeigen bisher zeigen, dass die Gruppe seit mindestens aktiv war 2012 während ihre Aktionen wurden zum ersten Mal in dokumentiert 2016.
Bisher, die Hacker haben es primär ins Visier genommen hochkarätige Ziele in Südkorea: Regierung, Verteidigung, Medien und militärische Organisationen.
Die Angriffe, die der Gruppe zugeschrieben werden erkannt wurden, da es drei Kriterien erfüllt: die Angriffe werden mit einem nordkoreanischen IP, die Zusammenstellung Zeitstempel des verwendeten Malware entsprechen eine nordkoreanische Zeitzone. Auch die Ziele der Bedrohung scheinen mit den Interessen der nordkoreanischen Regierung ausgerichtet werden. Koordinierte Aktionen wurden durchgeführt, gegen Japan, Vietnam und dem Nahen Osten zurück in 2017 auch. Viele der Vergangenheit Angriffe Zero-Day-Schwachstellen verwendet und Trojaner.
Die neueste Beginn der Angriffe scheinen zu verwenden ein neuer hoch entwickelte Bluetooth-Gerät Mähdrescher. Die Kampagnen werden gegen hochkarätige Ziele - eine diplomatische Vertretung in Hongkong und eine weitere in Nordkorea. Es wird angenommen, dass die Informationen, die von den Geheimdiensten extrahiert Agenturen von Nordkorea erforderlich ist.
Die Malware, die mit der Gruppe verwendet Bluetooth zu erwerben, um Informationen über die Geräte zugeordnet ist,, da sie die drahtlose Technologie verwendet, wird die angreifende Vorrichtung muß in unmittelbarer Nähe zu den Zielen beg. Was ist es interessant ist, ist, dass sich die Malware mit einem Computer oder Gerät die Angriffe aus dem heruntergeladen werden beginnen wird. Der Bluetooth-Mähdrescher wird über einen privilege escalation Bug oder über einen Windows-UAC Bypass zum Opfer Systemen geliefert. Der Fehler, der gezielt wird, in der beschrieben CVE-2018-8120 Beratungs:
Eine Erhöhung von Berechtigungen Sicherheitsanfälligkeit in Windows-wenn die Win32k Komponente ordnungsgemäß nicht auf Objekte im Speicher verarbeiten, aka “Win32k Erhöhung von Berechtigungen Verletzlichkeit.” Dies betrifft Windows Server 2008, Fenster 7, Windows Server 2008 R2
Die Malware wird dann ein Bild herunterzuladen, die die endgültige Nutzlast abruft. Die ausführbare Datei wird die integrierte Konfigurationsdatei verwenden und auf den entsprechenden Hacker-gesteuerten Server verbinden. Das infizierte System Netzebene Erkennung entziehen, indem ein mit Steganographie Ansatz. Der Bluetooth-Mähdrescher ist in der Lage eine Menge von sensiblen Informationen über die Opfer Geräte zu erfassen und / oder deren Nutzer. Die endgültige Nutzlast ist ein Backdoor-ROKRAT genannt, das als Trojan verwendet wird, die die Hacker können auf die Opfer auszuspionieren, andere Bedrohungen bereitstellen und stehlen Dateien.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: