ScarCruft Les pirates exploitent un appareil de capture de périphérique Bluetooth pour espionner leurs victimes

ScarCruft, un groupe de hackers nord-coréen, a découvert un nouveau dispositif d’infiltration, c’est-à-dire l’outil de collecte Bluetooth, qui lui permet d’obtenir divers détails sensibles de l’ordinateur infecté. Ces groupes de pirates professionnels apparemment très expérimentés sont connus pour différentes solutions telles que APT37, Reaper ou Group123, ont été actives au moins en 2012 et leurs actions ont été remarquées pour la première fois en 2016.

Jusqu’à présent, les cibles principales de ScarCruft étaient des cibles de premier plan telles que le gouvernement, les médias et les organisations militaires sud-coréennes. Ces attaques ont détecté et, après analyse, ont permis de conclure à trois critères:

  • La propriété intellectuelle nord-coréenne est utilisée par les attaquants
  • Les horodatages de complication de Malware correspondent au fuseau horaire nord-coréen.
  • L’objectif s’aligne sur le gouvernement nord-coréen

Les attaques précédentes utilisaient des vulnérabilités zéro jour ou un cheval de Troie. Les campagnes ont été menées contre le Japon, le Vietnam et le Moyen-Orient.

Quoi de neuf dans la tendance? Le dispositif de récolte de périphérique Bluetooth est en cours d’utilisation

Un nouvel outil sophistiqué de capture de périphériques Bluetooth – de nouvelles campagnes à la pointe des objectifs ambitieux – une agence diplomatique de Hong Kong et de la Corée du Nord est le dernier en date des attaques. Le logiciel malveillant utilise l’aide de Bluetooth pour obtenir les informations sensibles d’un appareil. Après l’infiltration du logiciel malveillant, l’abatteur Bluetooth est transmis à l’appareil via un bogue d’élévation des privilèges ou via le contournement UAC. Ici, les brefs détails sur le bug CVE-2018-4878:

«Une vulnérabilité d’élévation des privilèges existe dans Windows lorsque le composant Win32k ne parvient pas à gérer correctement les objets en mémoire, également appelée« Vulnérabilité d’élévation des privilèges Win32k ». Elle affecte Windows Server 2008, Windows 7, Windows Server 2008 R2».

Peu de temps après, une image est envoyée qui télécharge une charge finale qui se connecte au serveur distant. Cette charge utile finale n’est rien d’autre qu’un ROKRAT Trojan qui permet aux pirates de voler divers détails sensibles, de déployer d’autres menaces et d’espionner les victimes.