Isyarat penangkap Bluetooth merosot minat penggeledahan kumpulan dalam mudah alih

Kumpulan penggodam berbahasa Korea yang beroperasi sejak sekurang-kurangnya 2016 memperluas alat penggodam senjata untuk menyertakan penangkap peranti Bluetooth dalam langkah yang memberi isyarat kepada minat kumpulan yang semakin meningkat dalam peranti mudah alih.

ScarCruft adalah kumpulan ancaman maju yang berterusan berbahasa Korea yang penyelidik dengan firma keselamatan Kaspersky Lab telah mengikuti sejak sekurang-kurangnya 2016. Pada masa itu, kumpulan itu didapati menggunakan sekurang-kurangnya empat eksploit, termasuk Adobe Flash zeroday, untuk menjangkiti sasaran yang terletak di Rusia, Nepal, Korea Selatan, China, India, Kuwait, dan Romania.

Dalam satu siaran yang dipamerkan Isnin, penyelidik Kaspersky Lab berkata mereka menemui alat pengesan peranti Bluetooth adat yang dibuat oleh ScarCruft. Para penyelidik menulis:

Malware ini bertanggungjawab untuk mencuri maklumat peranti Bluetooth. Ia diambil oleh pengunderaitan dan mengumpul maklumat secara langsung dari tuan rumah yang dijangkiti. Malware ini menggunakan API Bluetooth Windows untuk mencari maklumat mengenai peranti Bluetooth yang bersambung dan menyimpan maklumat berikut.

  • Nama Instance: Nama peranti
  • Alamat: Alamat peranti
  • Kelas: Kelas peranti
  • Terhubung: Sama ada peranti disambungkan (benar atau palsu)
  • Dikesahkan: Sama ada peranti itu disahkan (benar atau palsu)
  • Ingat: Sama ada peranti adalah peranti yang diingati (benar atau salah)

Penyerang kelihatannya meningkatkan skop maklumat yang dikumpulkan dari mangsa.

Bertindih dengan DarkHotel

Penyelidik Kaspersky Lab mengatakan bahawa sesetengah syarikat pelaburan dan perdagangan berasaskan Rusia dan Vietnam yang dijangkiti oleh ScarCruft mungkin mempunyai hubungan dengan Korea Utara. Para penyelidik berkata ScarCruft juga menyerang sebuah agensi diplomatik di Hong Kong dan agensi diplomatik lain di Korea Utara. "Tampaknya ScarCruft terutama menargetkan kecerdasan untuk tujuan politik dan diplomatik," tulis para penyelidik.

Satu sasaran dari Rusia mencetuskan peringatan pengesanan malware ketika tinggal di Korea Utara. Amaran itu menunjukkan bahawa ia mempunyai maklumat berharga mengenai hal ehwal Korea Utara. ScarCruft menjangkiti sasaran pada September 2018. Sebelum itu, sasaran itu telah dijangkiti oleh kumpulan APT yang berbeza dikenali sebagai DarkHotel dan, sebelum itu, sekeping malware yang berbeza dikenali sebagai Konni.

"Ini bukan kali pertama kita melihat pertindihan pelakon ScarCruft dan DarkHotel," kata penyelidik Kaspersky Lab. "Mereka adalah kedua-dua pelaku ancaman berbangsa Korea, dan kadang-kadang mangsa mereka bertindih. Tetapi kedua-dua kumpulan seolah-olah mempunyai TTP yang berbeza (Taktik, Teknik, dan Prosedur), dan ia membawa kita untuk mempercayai bahawa satu kumpulan kerap mengintai dalam bayangan yang lain. "

ScarCruft menjejaskan sasarannya melalui e-mel spearphishing dan dengan menjangkiti laman web yang mereka lawati dan mengikatnya dengan eksploitasi. Kadang-kadang, eksploitasi adalah zerodays. Dalam kes lain, kumpulan itu telah menggunakan kod eksploitasi awam. Kumpulan ini juga menggunakan proses jangkitan pelbagai peringkat yang akhirnya memuat turun fail dari pelayan arahan dan kawalan. Untuk menggagalkan pertahanan rangkaian, pengunduh menggunakan teknik steganografi yang menyembunyikan muatan yang disulitkan dalam fail imej. Muatan terakhir memasang pintu belakang yang dikenali sebagai ROKRAT.

Penemuan Kaspersky terhadap penangkap Bluetooth adalah bukti bahawa ScarCruft terus mengembangkan keupayaannya.

"The ScarCruft telah menunjukkan dirinya sebagai kumpulan yang sangat mahir dan aktif," kata siasatan Isnin. "Ia mempunyai minat yang mendalam dalam urusan Korea Utara, menyerang mereka dalam sektor perniagaan yang mungkin mempunyai hubungan dengan Korea Utara, serta agensi diplomatik di seluruh dunia. Berdasarkan aktiviti terbaru ScarCruft, kami sangat percaya bahawa kumpulan ini mungkin terus berkembang. "

Tonton video itu: Cara Memperkuat Sinyal Hp Menggunakan Stiker (Disember 2019).