ScarCruft: Un grup de limbă coreeană creează malware capabil să identifice dispozitivele Bluetooth conectate

13 mai 2019

Cercetătorii Kaspersky Lab care monitorizează activitatea ScarCruft, un grup experimentat de atacatori, de limbă coreeană, au descoperit că grupul testează și creează noi instrumente și tehnici și își extinde atât gama, cât și volumul de informații colectate de la victime. Printre altele, grupul a creat un cod capabil să identifice dispozitive Bluetooth conectate.

ScarCruft: Un grup de limbă coreeană creează malware capabil să identifice dispozitivele Bluetooth conectate

Se crede că grupul APT ScarCruft este sponsorizat de stat și, de obicei, vizează entități guvernamentale și companii care au legături cu Peninsula Coreeană, aparent in căutare de informații de interes politic. În cea mai recentă activitate observată de Kaspersky Lab, sunt semne că acest grup evoluează, testând noi exploit-uri, manifestându-și interesul pentru datele de pe dispozitivele mobile și dovedindu-se foarte creativ în adaptarea instrumentelor și serviciilor legitime la operațiunile sale de spionaj cibernetic.

Atacurile grupului încep, la fel ca cele ale multor altor grupuri APT, fie cu phishing, fie cu o compromitere strategică a site-urilor - atac cunoscut sub numele de „watering-hole” - folosind un exploit sau alte trucuri pentru a infecta anumiți vizitatori.

În cazul ScarCruft, urmează o infecție, în primă fază, care poate ocoli Windows UAC (User Account Control), ceea ce îi permite să lanseze următoarea „încărcătură”, cu privilegii mai mari, folosind cod lansat în mod normal în organizații pentru teste legitime de intruziune. Pentru a evita detecția la nivel de rețea, malware-ul utilizează steganografia, ascunzând codul infectat într-un fișier imagine. Etapa finală a infecției implică instalarea unui backdoor bazat pe servicii de tip cloud, cunoscut sub numele de ROKRAT. Backdoor-ul colectează o gamă largă de informații din sistemele și dispozitivele victimei și le poate transmite către patru servicii cloud: Box, Dropbox, pCloud și Yandex.Disk.

Cercetătorii Kaspersky Lab au descoperit un interes crescut față de furtul de date de pe dispozitivele mobile, precum și pentru programele malware care colectează informații despre dispozitivele Bluetooth, utilizând Windows Bluetooth.

Pe baza datelor de telemetrie, printre victimele acestei campanii se numără societăți de investiții și comerciale din Vietnam și Rusia, care ar putea avea legături cu Coreea de Nord, și entități diplomatice din Hong Kong și Coreea de Nord. O victimă cu sediul în Rusia, infectată de ScarCruft, a fost anterior descoperită printre victimele grupului DarkHotel, de asemenea vorbitor de limbă coreeană.

„Nu este prima dată când am văzut suprapunerea dintre ScarCruft și DarkHotel. Au interese similare în ceea ce privește obiectivele, dar instrumente, tehnici și procese foarte diferite. Acest lucru ne face să credem că unul dintre grupuri stă, de obicei, în umbra celuilalt. ScarCruft este prudent și evită să iasă în evidență, însă s-a dovedit un grup cu abilități avansate și activ, cu o inventivitate deosebită în ceea ce privește dezvoltarea și folosirea instrumentelor de atac. Credem că va continua să evolueze", a spus Seongsu Park, senior security researcher, Global Research and Analysis Team, Kaspersky Lab.

Toate produsele Kaspersky Lab detectează și blochează această amenințare.

Pentru a nu cădea victimă unui atac direcționat al unui grup cunoscut sau necunoscut, cercetătorii Kaspersky Lab recomandă implementarea următoarelor măsuri:

  • Oferiți echipei de securitate acces la cele mai recente informații despre amenințări, pentru a fi la curent cu instrumentele, tehnicile și tacticile noi și emergente utilizate de atacatorii avansați și de infractorii cibernetici.
  • Pentru detectarea, investigarea și remedierea în timp util a incidentelor la nivel endpoint implementați soluții EDR (Endpoint Detection and Response), cum ar fi Kaspersky Endpoint Detection and Response.
  • Pe lângă adoptarea unei protecțiii endpoint elementare, implementați o soluție de securitate corporate care detectează într-o fază incipientă amenințări avansate la nivelul rețelei.
  • Deoarece numeroasele atacuri direcționate încep cu phishing sau cu alte tehnici de inginerie socială, introduceți training-uri de conștientizare în materie de securitate și învățați-vă angajații lucruri practice.

Informații suplimentare despre activitatea recentă a ScarCruft pot fi găsite pe Securelist.

Kaspersky

Kaspersky

Kaspersky Lab este unul dintre furnizorii de soluții de securitate informatică cu cea mai rapidă creștere la nivel mondial. În prezent, compania este una dintre cele mai importante patru companii de securitate IT*, continuând să-și îmbunătățească poziția pe piață. Potrivit rezultatelor financiare ale companiei î...

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Aplicații software recomandate
Kaspersky Anti-Virus 2015

Kaspersky Anti-Virus 2015 vă oferă tehnologii antivirus esențiale pentru PC-ul dumneavoastră cu o protecție in timp real bazată pe cloud - pentru cele mai noi amenințări de tip malware. Lucrând in fundal - cu un scan inteligent si update-uri mici si frecvente - tehnologia proactivă vă protejează PC-ul atât de amenințările cunoscute,cat si de cele mai noi amenințări, fără să...

Citește tot arrow_forward
Kaspersky-Internet Security 2015

Kaspersky Internet Security 2015 combină o arie vastă de tehnologii ușor de folosit și riguroase pentru a vă proteja de orice tip de malware, dar si de amenințările existente pe Internet - inclusiv cybercriminalii care încearcă să vă fure banii sau identitatea. Kaspersky Lab vă oferă o soluție de securitate cu un impact minim asupra performanței PC-ului. Construit după tehn...

Citește tot arrow_forward
KasperskySmall Office Security 3

Kaspersky Small Office Security este o soluție special creată pentru microintreprinderi. Oferă o protecție de nivel înalt pentru PC si server, fiind ușor si rapid de instalat, configurat si utilizat. De asemenea, puteți administra securitatea întregii rețele de la un singur PC. Cu ajutorul bazei de date de semnături Kaspersky Lab, actualizărilor frecvente si al protecției ...

Citește tot arrow_forward
Articole IT&C similare

Atma Grup si-a automatizat procesele de ofertare si raportare cu solutiile Senior Software

Atma Grup, distribuitor de scule de prelucrare prin aschiere si consumabile industriale, si-a inlocuit vechiile aplicatii cu un pachet unic de sisteme software pentru gestionarea resurselor si eficientizarea proceselor de raportare si analiza.

Citește tot arrow_forward

Producatorul brandului “Telemea de Ibanesti” isi modernizeaza fabrica

Producatorul de branzeturi Mirdatod Prod a reusit sa-si imbunatateasca procesele din fabrica, implementand solutiile SeniorERP si SeniorVisualBI. Producatorul brandului “Telemea de Ibanesti” isi gestioneaza mult mai eficient resursele si obtine rapid rapoartele si analizele financiare necesare.

Citește tot arrow_forward

Revolut depășește 250.000 de utilizatori la un an de la lansarea pe piața din România. Cine sunt utilizatorii și pe ce cheltuie banii?

Fintech-ul britanic Revolut aniversează 1 an pe piața din România și anunță că a depășit 250.000 de utilizatori 

Citește tot arrow_forward