ScarCruftとして知られる北朝鮮のハッカー集団は、新しい侵入デバイスを使用していることが判明しました。これは、被害者のデバイスに関する多くの機密情報を取得できるBluetoothハーベスティングツールです。. このグループは、APT37としても知られています。, ReaperまたはGroup123.
CVE-2018-4878: ScarCruftハッカーがBluetoothデバイスハーベスティングを介してスパイするようになりました
ScarCruftハッカーは、他のさまざまなターゲットをもう一度攻撃するように設定されているようです, 他のハッキンググループと同様に、組織化され調整されたキャンペーンで行動することが知られています. 犯罪者のチームは経験豊富で、APT37としても知られています, ReaperとGroup123. これまでのセキュリティレポートは、グループが少なくとも 2012 彼らの行動は最初に文書化されましたが 2016.
ここのところ, ハッカーは主に 韓国で注目を集めるターゲット: 政府, 防衛, メディアおよび軍事組織.
検出された攻撃は、3つの基準に適合するため、グループに起因します。: 攻撃は北朝鮮のIPを使用しています, 使用されたマルウェアのコンパイルタイムスタンプは北朝鮮のタイムゾーンに対応しています. また、脅威の目的は北朝鮮政府の利益と一致しているようです. 調整されたキャンペーンは日本に対して行われました, ベトナムと中東に戻って 2017 同じように. 過去の攻撃の多くは、ゼロデイ脆弱性とトロイの木馬を使用しています。.
最新の攻撃の開始は使用しているようです 新しい洗練されたBluetoothデバイスハーベスタ. キャンペーンは、香港の外交機関と北朝鮮の別の外交機関など、注目を集める目標に対して設定されています。. 抽出された情報は北朝鮮の諜報機関によって必要とされていると考えられています.
グループに関連付けられているマルウェアは、デバイスに関する情報を取得するためにBluetoothを使用します, ワイヤレステクノロジーを使用しているため、攻撃側のデバイスはターゲットのすぐ近くで物乞いをする必要があります. 興味深いのは、マルウェアが攻撃を開始するコンピューターまたはデバイスにダウンロードされることです。. Bluetoothハーベスターは、特権昇格のバグまたはWindowsUACバイパスを介して被害者のシステムに配信されます. 対象となるバグは、 CVE-2018-8120アドバイザリ:
Win32kコンポーネントがメモリ内のオブジェクトを適切に処理できない場合、Windowsに特権の昇格の脆弱性が存在します, 別名 “Win32kの特権の昇格の脆弱性。” これはWindowsServerに影響します 2008, ウィンドウズ 7, Windows Server 2008 R2
マルウェアは、最終的なペイロードを取得する画像をダウンロードします. 実行可能ファイルは、組み込みの構成ファイルを使用して、関連するハッカー制御サーバーに接続します. 感染したシステムは、を使用してネットワークレベルの検出を回避します ステガノグラフィ アプローチ. Bluetoothハーベスターは、被害者のデバイスやそのユーザーに関する多くの機密情報をキャプチャすることができます. 最終的なペイロードは、ハッカーが被害者をスパイできるようにするトロイの木馬として使用されるROKRATと呼ばれるバックドアです。, 他の脅威を展開し、ファイルを盗む.