ScarCruft Hackersは、Bluetoothデバイスハーベスタを悪用して被害者を狙う

北朝鮮のハッカーグループ、ScarCruftは、新しい侵入デバイス、つまり侵入先のコンピュータからさまざまな機密情報を入手することを可能にするBluetoothハーベストツールを使用することを発見しました。これらのプロのハッカーグループは、APT37、Reaper、Group123などのさまざまな代替手段で知られている経験豊富なグループで、少なくとも2012年にアクティブになり、2016年に最初に気付いた行動です。

これまでのところ、ScarCruftの主なターゲットは、韓国の政府、メディア、軍事組織などの注目を集めるターゲットでした。このような攻撃は検出され、分析された結果、次の3つの基準に該当すると結論付けられました。

  • 北朝鮮のIPが攻撃者によって使用されている
  • マルウェアの合併症のタイムスタンプは、北朝鮮のタイムゾーンに対応しています。
  • 目的は北朝鮮政府に揃う

過去の攻撃では、ゼロデイ脆弱性またはトロイの木馬が使用されていました。キャンペーンは日本、ベトナム、中東に対して行われました。

トレンドの何が新しいのかBluetoothデバイスハーベスタが使用されています

新しい洗練されたBluetoothデバイスハーベスタ – 注目を集めるターゲットに対するトレンドセットの新しいキャンペーン – 香港の外交機関と北朝鮮のそれが最新の攻撃です。このマルウェアは、Bluetoothの助けを借りて、デバイスから機密情報を入手します。マルウェアを侵入させた後、Bluetoothハーベスタは特権昇格のバグを通じて、またはUACバイパスを介してデバイスに配信されます。ここで、バグCVE-2018-4878に関する簡単な詳細:

「Win32kコンポーネントがメモリ内のオブジェクトを正しく処理できない場合に、Windowsに特権の昇格の脆弱性が存在します。別名「Win32k特権の昇格の脆弱性」。これは、Windows Server 2008、Windows 7、Windows Server 2008 R2に影響を及ぼします。」

その後すぐに、リモートサーバーに接続する最終ペイロードをダウンロードするイメージが送信されます。この最終的なペイロードは、ハッカーがさまざまな機密情報を盗み、他の脅威を展開し、被害者を狙うことを可能にするROKRATトロイの木馬に他なりません。