Les hackers de langue coréenne étendent leur arsenal d'outils avec Bluetooth Harvester

Les hackers de langue coréenne étendent leur arsenal d'outils avec Bluetooth Harvester

Un groupe de piratage coréen parlant qui fonctionne depuis au moins 2016 étend son arsenal d'outils de piratage avec un dispositif de capture de périphériques Bluetooth, signalant ainsi l'intérêt croissant du groupe pour les périphériques mobiles.

ScarCruft est un groupe de menace avancé en langue coréenne que les chercheurs de la société de sécurité Kaspersky Lab forment depuis au moins 2016. À cette époque, au moins quatre exploits, dont un Adobe Flash Zeroday, étaient utilisés pour infecter des cibles en Russie, au Népal, en Corée du Sud, en Chine, en Inde, au Koweït et en Roumanie.

Dans un article publié lundi, des chercheurs de Kaspersky Lab ont annoncé la découverte d'un Bluetooth Harvester développé par ScarCruft. Les chercheurs ont écrit:

Ce malware est responsable du vol d’informations sur les périphériques Bluetooth. Il est accessible par un téléchargeur et collecte les informations directement à partir de l'hôte infecté. Ce programme malveillant utilise les API Bluetooth Windows pour rechercher des informations sur les périphériques Bluetooth connectés et stocke les informations suivantes.

  • Nom de l'instance: Nom du périphérique
  • Adresse: Adresse de l'appareil
  • Classe: Classe de l'appareil
  • Connecté: Indique si le périphérique est connecté (vrai ou faux)
  • Authentifié: Indique si le périphérique est authentifié (vrai ou faux).
  • Rappelé: Indique si le périphérique est un périphérique stocké (vrai ou faux).

Les agresseurs semblent élargir le champ des informations recueillies par les victimes.

Chevauchement avec DarkHotel

Les chercheurs de Kaspersky Lab ont déclaré que certaines sociétés d'investissement et de négoce basées à la Russie et au Vietnam et infectées par ScarCruft pourraient avoir des relations avec la Corée du Nord. Les chercheurs ont déclaré que ScarCruft avait également attaqué une mission diplomatique à Hong Kong et une autre mission diplomatique en Corée du Nord. "Il semble que ScarCruft soit principalement destiné à l'information à des fins politiques et diplomatiques", ont écrit les chercheurs.

Une cible en provenance de Russie a déclenché une alerte à la détection de programmes malveillants en Corée du Nord. L'avertissement indique qu'il y avait des informations précieuses sur les affaires nord-coréennes. ScarCruft a infecté la cible en septembre 2018. Cependant, la cible avait déjà été infectée par un autre groupe APT appelé DarkHotel et auparavant par un autre programme malveillant appelé Konni.

"Ce n'est pas la première fois que nous voyons un chevauchement des joueurs de ScarCruft et de DarkHotel", ont écrit les chercheurs de Kaspersky Lab. "Ils sont tous deux des acteurs de menace parlant le coréen, et parfois leurs victimologies se chevauchent. Mais les deux groupes semblent avoir des PTT différents (tactiques, techniques et procédures), et cela nous fait penser qu'un groupe se cache régulièrement à l'ombre des autres. "

ScarCruft infecte ses cibles avec des courriels de spearphishing, infecte les sites Web qu'ils visitent et les exploite. Parfois, les exploits durent zéro jour. Dans d'autres cas, le groupe a utilisé un code d'exploitation public. Le groupe utilise également un processus d'infection en plusieurs étapes, qui télécharge en fin de compte les fichiers d'un serveur de commande et de contrôle. Pour éviter les défenses du réseau, le téléchargeur utilise des techniques stéganographiques qui cachent une charge chiffrée dans un fichier image. La charge finale installe une porte dérobée appelée ROKRAT.

La découverte par Kaspersky de l’abatteuse Bluetooth prouve que ScarCruft continue de développer ses capacités.

"Le ScarCruft s'est avéré être un groupe hautement qualifié et actif", a conclu le poste lundi. "Elle porte un vif intérêt aux affaires nord-coréennes et attaque les entreprises du secteur privé ayant des liens avec la Corée du Nord, ainsi que les missions diplomatiques du monde entier. Avec les activités récentes de ScarCruft, nous croyons fermement que ce groupe devrait évoluer. "

Les hackers de langue coréenne étendent leur arsenal d'outils avec Bluetooth Harvester
4.9 (98%) 32 votes
 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *