Une société d'abattage Bluetooth signale l'intérêt croissant du groupe de piratage pour le mobile

Un groupe de piratage coréen parlant en activité depuis 2016 au moins étend son arsenal d'outils de piratage pour inclure un dispositif de capture de périphériques Bluetooth dans une initiative qui témoigne de l'intérêt croissant du groupe pour les périphériques mobiles.

ScarCruft est un groupe de menaces persistantes avancées et de langue coréenne que suivent les chercheurs de la société de sécurité Kaspersky Lab depuis au moins 2016. À l’époque, le groupe utilisait au moins quatre exploits, dont un zeroday Adobe Flash, pour infecter des cibles situées dans Russie, Népal, Corée du Sud, Chine, Inde, Koweït et Roumanie.

Dans une publication publiée lundi, les chercheurs de Kaspersky Lab ont annoncé la découverte d'un système de capture personnalisé de périphériques Bluetooth créé par ScarCruft. Les chercheurs ont écrit:

Ce malware est responsable du vol d'informations sur les périphériques Bluetooth. Il est récupéré par un téléchargeur et collecte les informations directement à partir de l'hôte infecté. Ce programme malveillant utilise les API Windows Bluetooth pour rechercher des informations sur les périphériques Bluetooth connectés et enregistre les informations suivantes.

  • Nom de l'instance: Nom du périphérique
  • Adresse: Adresse de l'appareil
  • Classe: Classe de l'appareil
  • Connecté: Indique si le périphérique est connecté (vrai ou faux)
  • Authentifié: Indique si le périphérique est authentifié (true ou false)
  • Remembered: Indique si le périphérique est un périphérique mémorisé (vrai ou faux)

Les agresseurs semblent élargir la portée des informations recueillies auprès des victimes.

Chevauchement avec DarkHotel

Les chercheurs de Kaspersky Lab ont déclaré que certaines sociétés d'investissement et de commerce basées en Russie et au Vietnam, infectées par ScarCruft, pourraient avoir des liens avec la Corée du Nord. Les chercheurs ont déclaré que ScarCruft avait également attaqué une agence diplomatique à Hong Kong et une autre agence diplomatique en Corée du Nord. "Il semble que ScarCruft vise principalement le renseignement à des fins politiques et diplomatiques", ont écrit les chercheurs.

Une cible en provenance de Russie a déclenché une alerte de détection de programme malveillant tout en restant en Corée du Nord. L'alerte suggère qu'il disposait d'informations précieuses sur les affaires nord-coréennes. ScarCruft a infecté la cible en septembre 2018. Auparavant, toutefois, la cible avait été infectée par un autre groupe APT appelé DarkHotel et, auparavant, par un autre malware, appelé Konni.

"Ce n'est pas la première fois que nous voyons un chevauchement des acteurs de ScarCruft et de DarkHotel", ont écrit les chercheurs de Kaspersky Lab. «Ils sont tous les deux des acteurs de la menace parlant le coréen et leurs victimologies se chevauchent parfois. Mais les deux groupes semblent avoir des TTP (tactiques, techniques et procédures) différents, et cela nous porte à croire qu'un groupe se cache régulièrement dans l'ombre de l'autre. "

ScarCruft infecte ses cibles par le biais de courriels de spearphishing et en infectant les sites Web qu’ils visitent et en les nouant d’exploits. Parfois, les exploits sont des zerodays. Dans d'autres cas, le groupe a utilisé un code d'exploitation public. Le groupe utilise également un processus d'infection en plusieurs étapes qui télécharge en fin de compte les fichiers d'un serveur de commande et de contrôle. Pour déjouer les défenses du réseau, le téléchargeur utilise des techniques stéganographiques qui cachent une charge chiffrée dans un fichier image. La charge finale installe une porte dérobée appelée ROKRAT.

La découverte par Kaspersky de la moissonneuse Bluetooth prouve que ScarCruft continue de développer ses capacités.

"Le ScarCruft s'est révélé être un groupe hautement qualifié et actif", a conclu lundi le post de lundi. «Il s'intéresse de près aux affaires nord-coréennes et s'attaque aux professionnels du monde des affaires susceptibles d'avoir des liens avec la Corée du Nord, ainsi qu'aux agences diplomatiques du monde entier. Sur la base des activités récentes de ScarCruft, nous sommes convaincus que ce groupe va probablement continuer à évoluer. ”