Il collettivo della Corea del Nord di hacker noto come ScarCruft è stato trovato per utilizzare un nuovo dispositivo di infiltrazione - uno strumento di raccolta Bluetooth che consente loro di acquisire un sacco di informazioni sensibili sui dispositivi vittima. Il gruppo è alternativamente noto come APT37, Reaper o Group123.
CVE-2018-4878: Fare la raccolta dispositivo ScarCruft hacker Ora Spy Via Bluetooth
Gli hacker ScarCruft sembrano essere impostato per attaccare vari altri obiettivi ancora una volta, simile ad altri gruppi di hacker che è noto per agire in campagne organizzate e coordinate. Il team di criminali è di grande esperienza e altrimenti noto come APT37, Reaper e Group123. I rapporti di sicurezza finora mostra mostra che il gruppo è stato attivo almeno dal 2012 mentre le loro azioni sono stati documentati in 2016.
Finora, gli hacker hanno preso di mira principalmente obiettivi di alto profilo in Corea del sud: governo, difesa, media e le organizzazioni militari.
Gli attacchi che sono stati identificati sono attribuiti al gruppo come si adatta tre criteri: gli attacchi stanno usando un coreano IP del Nord, i timestamp di compilazione del malware utilizzato corrispondono ad un fuso orario della Corea del Nord. Anche gli obiettivi della minaccia sembrano essere in linea con gli interessi del governo coreano del nord. campagne coordinate sono state fatte contro il Giappone, Vietnam e il Medio Oriente nel 2017 anche. Molti degli attacchi del passato hanno usato vulnerabilità zero-day e trojan.
L'ultima insorgenza di attacchi sembrano essere utilizzando un nuovo dispositivo mietitrice sofisticato Bluetooth. Le campagne sono impostate contro obiettivi di alto profilo - una rappresentanza diplomatica a Hong Kong e un altro in Corea del Nord. Si ritiene che le informazioni che viene estratto è richiesto dalle agenzie di intelligence della Corea del Nord.
Il malware che è associato con il gruppo utilizza Bluetooth al fine di acquisire informazioni sui dispositivi, in quanto utilizza la tecnologia wireless del dispositivo di attacco sarà necessario chiedere l'elemosina in prossimità di obiettivi. Ciò che è interessante è che il malware viene scaricato su un computer o un dispositivo da cui gli attacchi avrà inizio. La mietitrice Bluetooth viene consegnato ai sistemi vittima tramite un bug escalation dei privilegi o tramite un by-pass di Windows UAC. Il bug che si rivolge è descritto nella consulenza CVE-2018-8120:
Un'elevazione di privilegi vulnerabilità esiste in Windows quando il componente Win32k non riesce a gestire correttamente gli oggetti in memoria, aka “Win32k Elevazione della vulnerabilità nell'acquisizione di privilegi.” Questo riguarda Windows Server 2008, Windows 7, Windows Server 2008 R2
Il malware sarà quindi scaricare un'immagine che recupererà il carico utile finale. L'eseguibile utilizzerà il file di configurazione incorporato e connettersi al server degli hacker controllata rilevante. Il sistema infetto sarà eludere il rilevamento del livello di rete utilizzando un steganografia approccio. La mietitrice Bluetooth è in grado di catturare un sacco di informazioni sensibili sui dispositivi vittima e / o dei loro utenti. Il carico utile finale è una backdoor chiamata ROKRAT che viene usato come un cavallo di Troia che permetterà gli hacker per spiare le vittime, distribuire altre minacce e rubare file.