ScarCruft: Un grup de limbă coreeană creează malware capabil să identifice dispozitivele Bluetooth conectate

13 mai 2019

Cercetătorii Kaspersky Lab care monitorizează activitatea ScarCruft, un grup experimentat de atacatori, de limbă coreeană, au descoperit că grupul testează și creează noi instrumente și tehnici și își extinde atât gama, cât și volumul de informații colectate de la victime. Printre altele, grupul a creat un cod capabil să identifice dispozitive Bluetooth conectate.

ScarCruft: Un grup de limbă coreeană creează malware capabil să identifice dispozitivele Bluetooth conectate

Se crede că grupul APT ScarCruft este sponsorizat de stat și, de obicei, vizează entități guvernamentale și companii care au legături cu Peninsula Coreeană, aparent in căutare de informații de interes politic. În cea mai recentă activitate observată de Kaspersky Lab, sunt semne că acest grup evoluează, testând noi exploit-uri, manifestându-și interesul pentru datele de pe dispozitivele mobile și dovedindu-se foarte creativ în adaptarea instrumentelor și serviciilor legitime la operațiunile sale de spionaj cibernetic.

Atacurile grupului încep, la fel ca cele ale multor altor grupuri APT, fie cu phishing, fie cu o compromitere strategică a site-urilor - atac cunoscut sub numele de „watering-hole” - folosind un exploit sau alte trucuri pentru a infecta anumiți vizitatori.

În cazul ScarCruft, urmează o infecție, în primă fază, care poate ocoli Windows UAC (User Account Control), ceea ce îi permite să lanseze următoarea „încărcătură”, cu privilegii mai mari, folosind cod lansat în mod normal în organizații pentru teste legitime de intruziune. Pentru a evita detecția la nivel de rețea, malware-ul utilizează steganografia, ascunzând codul infectat într-un fișier imagine. Etapa finală a infecției implică instalarea unui backdoor bazat pe servicii de tip cloud, cunoscut sub numele de ROKRAT. Backdoor-ul colectează o gamă largă de informații din sistemele și dispozitivele victimei și le poate transmite către patru servicii cloud: Box, Dropbox, pCloud și Yandex.Disk.

Cercetătorii Kaspersky Lab au descoperit un interes crescut față de furtul de date de pe dispozitivele mobile, precum și pentru programele malware care colectează informații despre dispozitivele Bluetooth, utilizând Windows Bluetooth.

Pe baza datelor de telemetrie, printre victimele acestei campanii se numără societăți de investiții și comerciale din Vietnam și Rusia, care ar putea avea legături cu Coreea de Nord, și entități diplomatice din Hong Kong și Coreea de Nord. O victimă cu sediul în Rusia, infectată de ScarCruft, a fost anterior descoperită printre victimele grupului DarkHotel, de asemenea vorbitor de limbă coreeană.

„Nu este prima dată când am văzut suprapunerea dintre ScarCruft și DarkHotel. Au interese similare în ceea ce privește obiectivele, dar instrumente, tehnici și procese foarte diferite. Acest lucru ne face să credem că unul dintre grupuri stă, de obicei, în umbra celuilalt. ScarCruft este prudent și evită să iasă în evidență, însă s-a dovedit un grup cu abilități avansate și activ, cu o inventivitate deosebită în ceea ce privește dezvoltarea și folosirea instrumentelor de atac. Credem că va continua să evolueze", a spus Seongsu Park, senior security researcher, Global Research and Analysis Team, Kaspersky Lab.

Toate produsele Kaspersky Lab detectează și blochează această amenințare.

Pentru a nu cădea victimă unui atac direcționat al unui grup cunoscut sau necunoscut, cercetătorii Kaspersky Lab recomandă implementarea următoarelor măsuri:

  • Oferiți echipei de securitate acces la cele mai recente informații despre amenințări, pentru a fi la curent cu instrumentele, tehnicile și tacticile noi și emergente utilizate de atacatorii avansați și de infractorii cibernetici.
  • Pentru detectarea, investigarea și remedierea în timp util a incidentelor la nivel endpoint implementați soluții EDR (Endpoint Detection and Response), cum ar fi Kaspersky Endpoint Detection and Response.
  • Pe lângă adoptarea unei protecțiii endpoint elementare, implementați o soluție de securitate corporate care detectează într-o fază incipientă amenințări avansate la nivelul rețelei.
  • Deoarece numeroasele atacuri direcționate încep cu phishing sau cu alte tehnici de inginerie socială, introduceți training-uri de conștientizare în materie de securitate și învățați-vă angajații lucruri practice.

Informații suplimentare despre activitatea recentă a ScarCruft pot fi găsite pe Securelist.

Kaspersky

Kaspersky Lab este unul dintre furnizorii de soluții de securitate informatică cu cea mai rapidă creștere la nivel mondial. În prezent, compania este una dintre cele mai importante patru companii de securitate IT*, continuând să-și îmbunătățească poziția pe piață. Potrivit rezultatelor financiare ale companiei î...

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Aplicații software recomandate
Kaspersky Anti-Virus 2015

Kaspersky Anti-Virus 2015 vă oferă tehnologii antivirus esențiale pentru PC-ul dumneavoastră cu o protecție in timp real bazată pe cloud - pentru cele mai noi amenințări de tip malware. Lucrând in fundal - cu un scan inteligent si update...

Citește tot arrow_forward
Kaspersky-Internet Security 2015

Kaspersky Internet Security 2015 combină o arie vastă de tehnologii ușor de folosit și riguroase pentru a vă proteja de orice tip de malware, dar si de amenințările existente pe Internet - inclusiv cybercriminalii care încearcă să vă ...

Citește tot arrow_forward
KasperskySmall Office Security 3

Kaspersky Small Office Security este o soluție special creată pentru microintreprinderi. Oferă o protecție de nivel înalt pentru PC si server, fiind ușor si rapid de instalat, configurat si utilizat. De asemenea, puteți administra securit...

Citește tot arrow_forward
Articole IT&C similare

Bitdefender a deschis la Târgu Mureș al cincilea birou din România

Producătorul de soluții de securitate cibernetică Bitdefender a deschis un nou birou la Târgu Mureș, al cincilea din România al companiei, pe lângă cele din București, Cluj-Napoca, Iași și Timișoara....

Citește tot arrow_forward

România, cea mai afectată țară din lume de amenințarea informatică a momentului

Scranos sustrage toate parolele și informațiile bancare ale victimelor și le compromite activitatea pe rețelele de socializare

Citește tot arrow_forward