FavoriteLoading
0

ScarCruft APT組織開發針對藍牙的惡意軟件

研究人員一直在觀察疑似來自朝鮮的威脅組織ScarCruft。 據報道,該組織被發現正在開發新的黑客工具。卡巴斯基實驗室表示,ScarCruft正在使用可識別連接藍牙設備的代碼來測試該工具,以便從目標受害者那里竊取關鍵信息。

ScarCruft使用魚叉式網絡釣魚或戰略性網絡妥協的方式來發動攻擊,隨后是第一階段感染。在獲得初步立足點后,ScarCruft會下載一個能夠在受感染系統上繞過Windows用戶帳戶控制的dropper。使用CVE-2018-8120的已知漏洞來繞過Windows用戶帳戶控制(UAC)后,dropper會執行具有更高權限的下一個有效負載,其利用通常用于滲透測試的代碼來升級權限。“為了逃避網絡級別的安全檢測,該惡意軟件使用隱寫術,將惡意代碼隱藏在圖像文件中,”卡巴斯基實驗室在其報告中解釋道。

ScarCruft還安裝了ROKRAT后門,旨在從受感染網絡上的計算機和設備中獲取信息,并將被盜數據發送到Box、Dropbox、Yandex.Disk和pCloud。

此外,研究人員還報告說,他們觀察到ScarCruft最近的威脅活動的受害者與曾經臭名昭著的DarkHotel組織的受害者之間存在相似之處,其中DarkHotel組織同樣疑似來自朝鮮。

“ScarCruft組織使用常見的惡意軟件傳播技術,例如魚叉式網絡釣魚和戰略網絡妥協(SWC)。與在Daybreak中運行一樣,該黑客組織使用0-day來執行復雜的攻擊。但是,有時使用公共漏洞代碼對惡意軟件作者來說更迅速高效。研究人員表示,他們發現該組織在準備下一次攻擊活動時大量測試了一個已知的公共漏洞。

“這并非我們第一次發現ScarCruft和DarkHotel存在重疊,”卡巴斯基實驗室全球研究和分析團隊的高級安全研究員Seongsu Park在新聞發布會上表示,“他們在攻擊目標方面有相似的興趣,但其使用的攻擊工具、技術和流程卻截然不同。盡管ScarCruft非常謹慎低調,但仍然是一個技術嫻熟且活躍的黑客組織,在開發和部署工具方面相當老練。我們認為它會繼續發展。”

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。