El norcoreano colectivo de hackers conocido como ScarCruft Se ha descubierto que utilizar un nuevo dispositivo de infiltración - una herramienta de recolección de Bluetooth lo que les permite adquirir una gran cantidad de información sensible sobre los dispositivos de la víctima. El grupo está alternativamente conocido como APT37, Reaper o Group123.
CVE-2018-4878: La recolección de dispositivos ScarCruft hackers Ahora Spy Por Bluetooth
Los piratas informáticos ScarCruft aparecen dispuestos a atacar a varios otros objetivos, una vez más, similar a otros grupos de piratas informáticos que se sabe que actúan en las campañas organizadas y coordinadas. El equipo de los criminales es altamente experimentado y conocido también como APT37, Reaper y Group123. Los informes de seguridad muestran hasta ahora muestran que el grupo ha estado activo desde al menos 2012 mientras que sus acciones fueron documentados por primera vez en 2016.
Hasta aquí, los piratas informáticos se han dirigido principalmente objetivos de alto perfil en Corea del Sur: gobierno, defensa, medios de comunicación y las organizaciones militares.
Los ataques que se han detectado son atribuidos al grupo, ya que encaja tres criterios: los ataques están utilizando una IP de Corea del Norte, las marcas de tiempo de compilación del programa malicioso utilizado corresponden a una zona horaria de Corea del Norte. También los objetivos de la amenaza parecen estar alineadas con los intereses del gobierno de Corea del Norte. campañas coordinadas se realizaron contra Japón, Vietnam y Oriente Medio de vuelta en 2017 también. Muchos de los últimos ataques han utilizado vulnerabilidades de día cero y troyanos.
La última aparición de los ataques parecen estar usando una nueva cosechadora sofisticado dispositivo Bluetooth. Las campañas se fijan contra objetivos de alto perfil - una agencia diplomática en Hong Kong y otro en Corea del Norte. Se cree que la información que se extrae es requerida por las agencias de inteligencia de Corea del Norte.
El malware que se asocia con el grupo utiliza Bluetooth con el fin de adquirir información acerca de los dispositivos, ya que utiliza la tecnología inalámbrica del dispositivo atacar tendrá que mendigar en las proximidades de los objetivos. Lo interesante de esto es que el malware se descarga a un ordenador o dispositivo desde el que se iniciarán los ataques. La cosechadora de Bluetooth se entrega a los sistemas de las víctimas a través de un error de privilegios o por medio de un bypass UAC de Windows. El fallo de funcionamiento que se apunta se describe en el asesoramiento CVE-2018-8120:
Una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no maneja adecuadamente objetos en memoria, aka “Win32k vulnerabilidad de elevación de privilegios.” Esto afecta a Windows Server 2008, Ventanas 7, Windows Server 2008 R2
El software malicioso se descargue una imagen que va a recuperar la carga útil definitiva. El ejecutable utilizará el archivo de configuración incorporada y conectar con el servidor pirata informático controlado relevante. El sistema infectado eludirá la acción de detección de nivel de red mediante el uso de una esteganografía enfoque. La cosechadora Bluetooth es capaz de capturar una gran cantidad de información sensible sobre los dispositivos de la víctima y / o sus usuarios. La carga útil final es una puerta trasera llamada ROKRAT que se utiliza como un troyano que permitirá a los hackers para espiar a las víctimas, implementar otras amenazas y robar archivos.