北朝鮮のハッカーグループ、ScarCruftは、新しい侵入デバイス、つまり侵入先のコンピュータからさまざまな機密情報を入手することを可能にするBluetoothハーベストツールを使用することを発見しました。これらのプロのハッカーグループは、APT37、Reaper、Group123などのさまざまな代替手段で知られている経験豊富なグループで、少なくとも2012年にアクティブになり、2016年に最初に気付いた行動です。
これまでのところ、ScarCruftの主なターゲットは、韓国の政府、メディア、軍事組織などの注目を集めるターゲットでした。このような攻撃は検出され、分析された結果、次の3つの基準に該当すると結論付けられました。
- 北朝鮮のIPが攻撃者によって使用されている
- マルウェアの合併症のタイムスタンプは、北朝鮮のタイムゾーンに対応しています。
- 目的は北朝鮮政府に揃う
過去の攻撃では、ゼロデイ脆弱性またはトロイの木馬が使用されていました。キャンペーンは日本、ベトナム、中東に対して行われました。
トレンドの何が新しいのかBluetoothデバイスハーベスタが使用されています
新しい洗練されたBluetoothデバイスハーベスタ – 注目を集めるターゲットに対するトレンドセットの新しいキャンペーン – 香港の外交機関と北朝鮮のそれが最新の攻撃です。このマルウェアは、Bluetoothの助けを借りて、デバイスから機密情報を入手します。マルウェアを侵入させた後、Bluetoothハーベスタは特権昇格のバグを通じて、またはUACバイパスを介してデバイスに配信されます。ここで、バグCVE-2018-4878に関する簡単な詳細:
「Win32kコンポーネントがメモリ内のオブジェクトを正しく処理できない場合に、Windowsに特権の昇格の脆弱性が存在します。別名「Win32k特権の昇格の脆弱性」。これは、Windows Server 2008、Windows 7、Windows Server 2008 R2に影響を及ぼします。」
その後すぐに、リモートサーバーに接続する最終ペイロードをダウンロードするイメージが送信されます。この最終的なペイロードは、ハッカーがさまざまな機密情報を盗み、他の脅威を展開し、被害者を狙うことを可能にするROKRATトロイの木馬に他なりません。