Hackers da ScarCruft exploram o harvester de dispositivos Bluetooth para espionar as vítimas

O ScarCruft, um grupo de hackers da Coréia do Norte, descobriu usar um novo dispositivo de infiltração, ou seja, a ferramenta de coleta de Bluetooth que permite obter vários detalhes confidenciais do computador comprometido. Este grupo de hackers profissionais parece ser altamente experiente, conhecido por diferentes alternativas, como o APT37, o Reaper ou o Group123, que tem estado ativo pelo menos até 2012, e suas ações foram notadas pela primeira vez em 2016.

Até agora, os principais alvos da ScarCruft eram alvos de alto perfil, como governo, mídia e organizações militares na Coreia do Sul. Tais ataques detectaram e depois de analisados ​​concluíram que se enquadra em três critérios:

  • O IP norte-coreano está sendo usado pelos atacantes
  • Os timestamps de complicações do malware correspondem ao fuso horário da Coreia do Norte.
  • Objetivo alinha-se ao governo norte-coreano

Os ataques anteriores usavam vulnerabilidades de dia zero ou cavalo de Tróia. As campanhas foram feitas contra o Japão, Vietnã e Oriente Médio.

O que há de novo na tendência; A colheitadeira de dispositivos Bluetooth está em uso

Uma nova e sofisticada colheitadeira de dispositivos Bluetooth – novas campanhas sobre a tendência – contra os alvos de alto perfil – uma agência diplomática de Hong Kong e da Coreia do Norte é o mais recente dos ataques. O malware leva a ajuda do Bluetooth para obter os detalhes confidenciais de um dispositivo. Depois de se infiltrar no malware, o harvester Bluetooth é entregue ao dispositivo através de um erro de escalonamento de privilégios ou através do desvio do UAC. Aqui, os breves detalhes sobre o bug CVE-2018-4878:

“Existe uma vulnerabilidade de elevação de privilégio no Windows quando o componente Win32k falha ao manipular corretamente os objetos na memória, também conhecido como“ Vulnerabilidade de elevação de privilégio do Win32k ”. Isso afeta o Windows Server 2008, o Windows 7 e o Windows Server 2008 R2”

Logo depois, uma imagem é enviada para baixar uma carga final que se conecta ao servidor remoto. Essa carga final não é nada além de um Trojan ROKRAT que permite aos hackers roubar vários detalhes confidenciais, implantar outras ameaças e espionar as vítimas.