Cybergang tworzy oprogramowanie umożliwiające identyfikowanie urządzeń połączonych za pomocą Bluetooth

13-05-2019, 19:07

Badacze monitorujący aktywność ScarCruft, zaawansowanego koreańskojęzycznego cyberugrupowania, odkryli, że grupa testuje i tworzy nowe narzędzia oraz techniki, rozszerzając zarówno zakres, jak i ilość informacji uzyskiwanych od ofiar. ScarCruft stworzył między innymi oprogramowanie umożliwiające identyfikowanie urządzeń połączonych za pomocą technologii Bluetooth.

Ugrupowanie ScarCruft jest prawdopodobnie sponsorowane przez jeden z rządów i przeważnie atakuje podmioty administracyjne oraz firmy powiązane z półwyspem koreańskim, polując na informacje o znaczeniu politycznym. Ostatnia aktywność zaobserwowana przez firmę Kaspersky Lab świadczy o ewolucji omawianego ugrupowania, które testuje szkodliwe narzędzia, wykazuje zainteresowanie danymi pochodzącymi z urządzeń przenośnych oraz w nowatorski sposób wykorzystuje legalne narzędzia oraz usługi w swoich operacjach cyberszpiegowskich.        

Podobnie, jak w przypadku innych zaawansowanych ugrupowań APT, ataki ScarCruft rozpoczynają się od phishingu ukierunkowanego lub złamania zabezpieczeń strategicznych stron internetowych (tzw. ataki metodą wodopoju) przy użyciu exploita lub innych sposobów w celu zaatakowania określonych osób odwiedzających zasoby internetowe.    

W przypadku ScarCruft następuje wówczas pierwszy etap infekcji umożliwiający obejście Windows UAC (kontrola konta użytkownika), co pozwala szkodnikowi wykonać kolejną szkodliwą funkcję o wyższych uprawnieniach przy użyciu kodu, który jest zwykle wykorzystywany w organizacjach do legalnych celów związanych z testami penetracyjnymi. W celu uniknięcia wykrycia na poziomie sieci szkodnik wykorzystuje steganografię, ukrywając szkodliwy kod w pliku graficznym. Ostatni etap infekcji polega na zainstalowaniu tylnej furtki (tzw. backdoora) o nazwie ROKRAT opartego na usłudze w chmurze. Backdoor ten gromadzi szeroki zakres informacji z systemów oraz urządzeń swoich ofiar i może je przesłać do czterech usług w chmurze: Box, Dropbox, pCloud oraz Yandex.Disk.       

Badacze odkryli, że ScarCruft wykazuje zainteresowanie kradzieżą danych z urządzeń przenośnych, jak również zidentyfikowali szkodliwe oprogramowanie, które rozpoznali urządzenia z technologią Bluetooth przy użyciu interfejsu Windows Bluetooth API.         

Z danych telemetrycznych wynika, że wśród ofiar kampanii opisywanego ugrupowania znajdują się firmy inwestycyjne i handlowe z Wietnamu oraz Rosji, mogące posiadać związki z Koreą Północną, jak również placówki dyplomatyczne w Hongkongu oraz Korei Północnej. Jedna z rosyjskich ofiar zagrożenia ScarCruft została wcześniej zaatakowana przez ugrupowanie DarkHotel.

Seongsu Park, starszy badacz ds. cyberbezpieczeństwa z Kaspersky Lab zauważa, że nie pierwszy raz działania ScarCruft oraz DarkHotel w pewnym stopniu pokrywają się. Ugrupowania te łączą podobne cele ataków, różnią się natomiast pod względem stosowanych narzędzi, technik i procesów. To skłania nas do wniosku, że jedna grupa kryje się w cieniu drugiej. ScarCruft jest ostrożny i woli nie rzucać się w oczy. Z drugiej strony, pokazał się jako aktywne i wysoce kompetentne ugrupowanie, któremu nie brakuje pomysłowości w tworzeniu i wdrażaniu narzędzi.

Źródło: Kaspersky Lab


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031