De Noord-Koreaanse hacker collectief bekend als ScarCruft is gevonden om een nieuwe infiltratie apparaat te gebruiken - een Bluetooth oogsten hulpmiddel waardoor ze veel gevoelige informatie te verwerven over het slachtoffer apparaten. De groep alternatief als APT37, Reaper of Group123.
CVE-2018-4878: ScarCruft Hackers Nu Spy Via Bluetooth-apparaat Oogsten
De ScarCruft hackers lijken te worden ingesteld op verschillende andere doelen nogmaals aan te vallen, vergelijkbaar met andere hacking groepen is het bekend om op te treden in de georganiseerde en gecoördineerde acties. Het team van criminelen is zeer ervaren en ook wel bekend als APT37, Reaper en Group123. De security rapporten tot nu toe laten zien laten zien dat de groep actief is geweest sinds ten minste 2012 terwijl hun acties werden voor het eerst gedocumenteerd in 2016.
Zover, de hackers hebben zich in de eerste plaats gericht high-profile doelen in Zuid-Korea: regering, verdediging, media en militaire organisaties.
De aanvallen die zijn gedetecteerd worden toegeschreven aan de groep als het past drie criteria: de aanvallen zijn met behulp van een Noord-Koreaanse IP, de compilatie timestamps van de gebruikte malware corresponderen met een Noord-Koreaanse tijdzone. Ook de doelstellingen van de bedreiging lijken te zijn afgestemd op de belangen van de Noord-Koreaanse regering. Gecoördineerde campagnes werden gedaan tegen Japan, Vietnam en het Midden-Oosten weer in 2017 ook. Veel van het verleden aanvallen heeft gebruikt zero-day kwetsbaarheden en Trojaanse paarden.
Het laatste optreden van aanvallen lijken te zijn met behulp van een nieuwe geavanceerde Bluetooth harvester-apparaat. De campagnes worden geplaatst tegen high-profile targets - een diplomatiek bureau in Hong Kong en een andere in Noord-Korea. Er wordt aangenomen dat de informatie die wordt gewonnen is vereist door de inlichtingendiensten van Noord-Korea.
De malware die is gekoppeld aan de groep maakt gebruik van Bluetooth om informatie over de apparaten te verwerven, omdat het gebruik maakt van draadloze communicatie aanvallende apparaat moeten bedelen nabijheid van de doelstellingen. Wat interessant is is dat de malware wordt gedownload naar een computer of een apparaat waarvan de aanvallen zal aanvangen. De Bluetooth-oogstmachine wordt geleverd aan het slachtoffer systemen via een privilege escalatie bug of via een Windows UAC bypass. Het insect dat gericht is beschreven in de CVE-2018-8120 adviserende:
Een misbruik van bevoegdheden bestaat in Windows wanneer de Win32 component niet objecten in het geheugen goed omgaan, aka “Win32k misbruik van bevoegdheden.” Dit heeft invloed op Windows Server 2008, Windows 7, Windows Server 2008 R2
De malware downloadt vervolgens een beeld dat de laatste lading ophaalt. Het uitvoerbare zal de ingebouwde configuratiebestand te gebruiken en aan te sluiten op de desbetreffende-hacker gecontroleerde server. Het geïnfecteerde systeem netwerkniveau detectie te vermijden door een steganografie nadering. De Bluetooth-oogstmachine is geschikt voor het vastleggen veel gevoelige informatie over het slachtoffer apparaten en / of hun gebruikers. De uiteindelijke payload is een backdoor genaamd ROKRAT die wordt gebruikt als een Trojaans paard waarmee de hackers te bespioneren de slachtoffers, implementeren andere bedreigingen en stelen bestanden.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: