ScarCruft: Un grup de limbă coreeană creează malware capabil să identifice dispozitivele Bluetooth conectate

13 mai 2019

Cercetătorii Kaspersky Lab care monitorizează activitatea ScarCruft, un grup experimentat de atacatori, de limbă coreeană, au descoperit că grupul testează și creează noi instrumente și tehnici și își extinde atât gama, cât și volumul de informații colectate de la victime. Printre altele, grupul a creat un cod capabil să identifice dispozitive Bluetooth conectate.

ScarCruft: Un grup de limbă coreeană creează malware capabil să identifice dispozitivele Bluetooth conectate

Se crede că grupul APT ScarCruft este sponsorizat de stat și, de obicei, vizează entități guvernamentale și companii care au legături cu Peninsula Coreeană, aparent in căutare de informații de interes politic. În cea mai recentă activitate observată de Kaspersky Lab, sunt semne că acest grup evoluează, testând noi exploit-uri, manifestându-și interesul pentru datele de pe dispozitivele mobile și dovedindu-se foarte creativ în adaptarea instrumentelor și serviciilor legitime la operațiunile sale de spionaj cibernetic.

Atacurile grupului încep, la fel ca cele ale multor altor grupuri APT, fie cu phishing, fie cu o compromitere strategică a site-urilor - atac cunoscut sub numele de „watering-hole” - folosind un exploit sau alte trucuri pentru a infecta anumiți vizitatori.

În cazul ScarCruft, urmează o infecție, în primă fază, care poate ocoli Windows UAC (User Account Control), ceea ce îi permite să lanseze următoarea „încărcătură”, cu privilegii mai mari, folosind cod lansat în mod normal în organizații pentru teste legitime de intruziune. Pentru a evita detecția la nivel de rețea, malware-ul utilizează steganografia, ascunzând codul infectat într-un fișier imagine. Etapa finală a infecției implică instalarea unui backdoor bazat pe servicii de tip cloud, cunoscut sub numele de ROKRAT. Backdoor-ul colectează o gamă largă de informații din sistemele și dispozitivele victimei și le poate transmite către patru servicii cloud: Box, Dropbox, pCloud și Yandex.Disk.

Cercetătorii Kaspersky Lab au descoperit un interes crescut față de furtul de date de pe dispozitivele mobile, precum și pentru programele malware care colectează informații despre dispozitivele Bluetooth, utilizând Windows Bluetooth.

Pe baza datelor de telemetrie, printre victimele acestei campanii se numără societăți de investiții și comerciale din Vietnam și Rusia, care ar putea avea legături cu Coreea de Nord, și entități diplomatice din Hong Kong și Coreea de Nord. O victimă cu sediul în Rusia, infectată de ScarCruft, a fost anterior descoperită printre victimele grupului DarkHotel, de asemenea vorbitor de limbă coreeană.

„Nu este prima dată când am văzut suprapunerea dintre ScarCruft și DarkHotel. Au interese similare în ceea ce privește obiectivele, dar instrumente, tehnici și procese foarte diferite. Acest lucru ne face să credem că unul dintre grupuri stă, de obicei, în umbra celuilalt. ScarCruft este prudent și evită să iasă în evidență, însă s-a dovedit un grup cu abilități avansate și activ, cu o inventivitate deosebită în ceea ce privește dezvoltarea și folosirea instrumentelor de atac. Credem că va continua să evolueze", a spus Seongsu Park, senior security researcher, Global Research and Analysis Team, Kaspersky Lab.

Toate produsele Kaspersky Lab detectează și blochează această amenințare.

Pentru a nu cădea victimă unui atac direcționat al unui grup cunoscut sau necunoscut, cercetătorii Kaspersky Lab recomandă implementarea următoarelor măsuri:

  • Oferiți echipei de securitate acces la cele mai recente informații despre amenințări, pentru a fi la curent cu instrumentele, tehnicile și tacticile noi și emergente utilizate de atacatorii avansați și de infractorii cibernetici.
  • Pentru detectarea, investigarea și remedierea în timp util a incidentelor la nivel endpoint implementați soluții EDR (Endpoint Detection and Response), cum ar fi Kaspersky Endpoint Detection and Response.
  • Pe lângă adoptarea unei protecțiii endpoint elementare, implementați o soluție de securitate corporate care detectează într-o fază incipientă amenințări avansate la nivelul rețelei.
  • Deoarece numeroasele atacuri direcționate încep cu phishing sau cu alte tehnici de inginerie socială, introduceți training-uri de conștientizare în materie de securitate și învățați-vă angajații lucruri practice.

Informații suplimentare despre activitatea recentă a ScarCruft pot fi găsite pe Securelist.

Kaspersky

Kaspersky Lab este unul dintre furnizorii de soluții de securitate informatică cu cea mai rapidă creștere la nivel mondial. În prezent, compania este una dintre cele mai importante patru companii de securitate IT*, continuând să-și îmbunătățească poziția pe piață. Potrivit rezultatelor financiare ale companiei î...

Aplicații software recomandate

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Articole IT&C similare

Securitatea informatică în 2020: între dispozitive tot mai vulnerabile, atacuri sofisticate și lupta neîncetată pentru dreptul la intimitate

Anul 2019 va stabili un nou record în care numărul amenințărilor informatice va atinge pragul de un miliard. Specialiștii în securitate informatică de la Bitdefender anticipează că în 2020 atacurile vor deveni din ce în ce mai sofisticate, cu consecințe devastatoare pentru oameni și companii. 

Citește tot arrow_forward

Conform unui studiu Kaspersky, 38% dintre utilizatori ar renunța la rețelele de socializare pentru a-și asigura confidențialitatea datelor pentru tot restul vieții

Un recent raport Kaspersky a arătat că patru din zece utilizatori (38%) ar renunța la conturile de pe rețelele de socializare pentru a fi siguri că datele lor rămân private pentru tot restul vieții. Temerile legate de protejarea confidențialității datelor în mediul digital i-au făcut pe utilizatori să fie mai preocupați de utilizarea și distribuirea informațiilor lor per...

Citește tot arrow_forward

Kaspersky prezintă o soluție cloud creată pentru a contracara trișatul în domeniul eSports

Kaspersky a făcut primul pas în protejarea fair play-ului în domeniul eSports: compania a introdus o versiune beta a noii sale soluții Kaspersky Anti-Cheat pentru a ajuta organizatorii să combată trișorii. Cu această nouă ofertă cloud, Kaspersky detectează în timp real tentativele de a trișa și furnizează rapoarte automate clientului, care poate apoi să ia o decizie ...

Citește tot arrow_forward