O coletivo de hackers norte-coreano conhecido como ScarCruft foi encontrada para usar um novo dispositivo de infiltração - uma ferramenta de colheita Bluetooth permitindo-lhes adquirir uma grande quantidade de informações sensíveis sobre os dispositivos vítima. O grupo é alternativamente conhecido como APT37, Reaper ou Group123.
CVE-2018-4878: Hackers ScarCruft agora espionam por meio de coleta de dispositivo Bluetooth
Os hackers do ScarCruft parecem estar preparados para atacar vários outros alvos mais uma vez, semelhante a outros grupos de hackers, é conhecido por atuar em campanhas organizadas e coordenadas. A equipe de criminosos é altamente experiente e também conhecida como APT37, Reaper e Group123. Os relatórios de segurança até agora mostram que o grupo está ativo desde pelo menos 2012 enquanto suas ações foram documentadas pela primeira vez em 2016.
Tão longe, os hackers visaram principalmente alvos de destaque na Coreia do Sul: governo, defesa, mídia e organizações militares.
Os ataques detectados são atribuídos ao grupo, pois se enquadra em três critérios: os ataques estão usando um IP norte-coreano, os carimbos de data / hora de compilação do malware usado correspondem a um fuso horário norte-coreano. Além disso, os objetivos da ameaça parecem estar alinhados com os interesses do governo norte-coreano. Campanhas coordenadas foram feitas contra o Japão, Vietnã e Oriente Médio de volta 2017 também. Muitos dos ataques anteriores usaram vulnerabilidades de dia zero e Trojans.
O último início de ataques parece estar usando um novo sofisticado coletor de dispositivos Bluetooth. As campanhas são direcionadas a alvos importantes - uma agência diplomática em Hong Kong e outra na Coreia do Norte. Acredita-se que as informações extraídas sejam exigidas pelas agências de inteligência da Coreia do Norte.
O malware associado ao grupo usa Bluetooth para obter informações sobre os dispositivos, como ele usa a tecnologia sem fio, o dispositivo de ataque precisará implorar nas proximidades dos alvos. O que é interessante nisso é que o malware será baixado para um computador ou dispositivo a partir do qual os ataques começarão. O coletor de Bluetooth é entregue aos sistemas da vítima por meio de um bug de escalonamento de privilégios ou por meio de um desvio do UAC do Windows. O bug que é visado é descrito no Consultoria CVE-2018-8120:
Uma vulnerabilidade de elevação de privilégio no Windows quando o componente Win32k não consegue lidar correctamente com objetos na memória, aka “Win32k Vulnerabilidade de elevação de privilégio.” Isso afeta o Windows Server 2008, janelas 7, Windows Server 2008 R2
O malware irá então baixar uma imagem que irá recuperar a carga final. O executável usará o arquivo de configuração integrado e se conectará ao servidor controlado por hacker relevante. O sistema infectado irá escapar da detecção de nível de rede usando um esteganografia abordagem. O coletor Bluetooth é capaz de capturar muitas informações confidenciais sobre os dispositivos da vítima e / ou seus usuários. A carga final é um backdoor chamado ROKRAT, que é usado como um cavalo de Tróia que permitirá que os hackers espionem as vítimas, implantar outras ameaças e roubar arquivos.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: