Le a été trouvé collective hacker nord-coréen connu sous le nom ScarCruft d'utiliser un nouveau dispositif d'infiltration - un outil de récolte Bluetooth leur permettant d'acquérir beaucoup d'informations sensibles sur les dispositifs d'aide aux victimes. Le groupe est également connu sous le APT37, Reaper ou Group123.
CVE-2018-4878: ScarCruft Les pirates informatiques maintenant Spy Via récolte périphérique Bluetooth
Les pirates semblent ScarCruft à fixer pour attaquer d'autres cibles une fois de plus, semblable à d'autres groupes de hacking, il est connu d'agir dans les campagnes organisées et coordonnées. L'équipe des criminels est très expérimenté et autrement connu sous le nom APT37, Reaper et Group123. Les rapports de sécurité montrent si loin montrent que le groupe est actif depuis au moins 2012 tandis que leurs actions ont d'abord été documentées dans 2016.
Jusqu'ici, les pirates ont principalement ciblé des cibles de grande envergure en Corée du Sud: gouvernement, la défense, les médias et les organisations militaires.
Les attaques qui ont été détectés sont attribués au groupe car il correspond à trois critères: les attaques utilisent une adresse IP nord-coréen, les horodatages de compilation des logiciels malveillants utilisés correspondent à une zone de temps nord-coréen. De plus, les objectifs de la menace semblent être alignés avec les intérêts du gouvernement nord-coréen. campagnes coordonnées ont été faites contre le Japon, Vietnam et le dos Moyen-Orient 2017 aussi. La plupart des attaques passées ont utilisé des vulnérabilités zero-day et les chevaux de Troie.
La dernière apparition d'attaques semblent être en utilisant une nouvelle arracheuse de périphérique Bluetooth sophistiqué. Les campagnes sont fixés contre des cibles de haut niveau - une agence diplomatique à Hong Kong et un autre en Corée du Nord. On croit que l'information qui est extrait est requis par les agences de renseignement de la Corée du Nord.
Le logiciel malveillant qui est associé au groupe utilise Bluetooth pour obtenir des informations sur les périphériques, car il utilise la technologie sans fil du dispositif d'attaque devra mendier à proximité des cibles. Ce qui est intéressant à ce sujet est que le logiciel malveillant est téléchargé sur un ordinateur ou un appareil à partir duquel les attaques commenceront. La moissonneuse Bluetooth est livré aux systèmes d'aide aux victimes via un bug d'escalade de privilèges ou par une dérivation de Windows UAC. Le bug qui est ciblé est décrit dans la conseil CVE-2018-8120:
Une vulnérabilité d'élévation de privilèges existe dans Windows lorsque le composant Win32k ne parvient pas à gérer correctement les objets en mémoire, alias “Win32k vulnérabilité d'élévation de privilèges.” Cela affecte Windows Server 2008, Fenêtres 7, Windows Server 2008 R2
Le logiciel malveillant télécharge alors une image qui récupérera la charge utile finale. L'exécutable utilisera le fichier de configuration intégré et se connecter au serveur contrôlé hacker pertinent. Le système infecté échapper à la détection de niveau de réseau à l'aide d'un stéganographie approche. La moissonneuse Bluetooth est capable de capturer beaucoup d'informations sensibles sur les dispositifs d'aide aux victimes et / ou leurs utilisateurs. La charge utile finale est une porte dérobée appelée ROKRAT qui est utilisé comme un cheval de Troie qui permettra aux pirates d'espionner les victimes, déployer d'autres menaces et voler des fichiers.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: