حصادة البلوتوث تشير إلى اهتمام المجموعة المتنامية بالهاتف المحمول

تعمل مجموعة اختراق للغة الكورية تعمل منذ عام 2016 على الأقل على توسيع ترسانتها من أدوات القرصنة لتشمل حصادة جهاز Bluetooth في خطوة تشير إلى اهتمام المجموعة المتزايد بالأجهزة المحمولة.

ScarCruft هي مجموعة تهديد مستمر متطورة ناطقة باللغة الكورية يتابعها الباحثون في شركة الأمن Kaspersky Lab منذ عام 2016 على الأقل. وفي ذلك الوقت ، تم العثور على المجموعة باستخدام أربعة مآثر على الأقل ، بما في ذلك Adobe Flash zeroday ، لإصابة أهداف تقع في روسيا ونيبال وكوريا الجنوبية والصين والهند والكويت ورومانيا.

في منشور نشر الاثنين ، قال باحثو كاسبرسكي لاب إنهم اكتشفوا حصادة مخصصة لجهاز Bluetooth تم إنشاؤها بواسطة ScarCruft. كتب الباحثون:

هذه البرامج الضارة مسؤولة عن سرقة معلومات جهاز Bluetooth. يتم جلبه بواسطة أداة التنزيل ويقوم بجمع المعلومات مباشرةً من المضيف المصاب. تستخدم هذه البرامج الضارة Windows Bluetooth APIs للعثور على معلومات حول أجهزة Bluetooth المتصلة وحفظ المعلومات التالية.

  • اسم المثيل: اسم الجهاز
  • العنوان: عنوان الجهاز
  • الفئة: فئة الجهاز
  • متصل: ما إذا كان الجهاز متصلاً (صواب أم خطأ)
  • مصادقة: ما إذا كان الجهاز مصادقته (صواب أم خطأ)
  • تذكر: ما إذا كان الجهاز عبارة عن جهاز تم تذكره (صواب أم خطأ)

يبدو أن المهاجمين يوسعون نطاق المعلومات التي يتم جمعها من الضحايا.

تداخل مع DarkHotel

قال باحثو كاسبرسكي لاب إن بعض شركات الاستثمار والتجارة التي تتخذ من روسيا وفيتنام مقراً لها والتي تصيب ScarCruft قد تكون لها روابط بكوريا الشمالية. وقال الباحثون إن شركة ScarCruft هاجمت وكالة دبلوماسية في هونج كونج ووكالة دبلوماسية أخرى في كوريا الشمالية. "يبدو أن ScarCruft يستهدف المعلومات الاستخباراتية في المقام الأول لأغراض سياسية ودبلوماسية" ، كتب الباحثون.

أحد الأهداف من روسيا أثار تنبيه الكشف عن البرامج الضارة أثناء بقائه في كوريا الشمالية. يقترح التنبيه أن لديه معلومات قيمة عن شؤون كوريا الشمالية. أصاب ScarCruft الهدف في سبتمبر 2018. وقبل ذلك ، كان الهدف قد أصيب من قبل مجموعة APT مختلفة تعرف باسم DarkHotel ، وقبل ذلك ، قطعة مختلفة من البرامج الضارة المعروفة باسم Konni.

"هذه ليست المرة الأولى التي نرى فيها تداخلًا بين ممثلي ScarCruft و DarkHotel" ، كتب باحثو كاسبرسكي لاب. "كلاهما ممثلان للتهديد باللغة الكورية ، وفي بعض الأحيان يتداخل ضحيتهما. لكن يبدو أن كلا المجموعتين لديهما TTPs (التكتيكات والتقنيات والإجراءات) المختلفة ، وهذا يقودنا إلى الاعتقاد بأن إحدى المجموعات تتربص بانتظام في ظل المجموعة الأخرى. "

تصيب ScarCruft أهدافها من خلال رسائل البريد الإلكتروني العشوائية وبإصابة مواقع الويب التي تزورها وربطها بالمآثر. في بعض الأحيان ، مآثر هي zerodays. في حالات أخرى ، استخدمت المجموعة شفرة استغلال عامة. تستخدم المجموعة أيضًا عملية إصابة متعددة المراحل تقوم في النهاية بتنزيل الملفات من خادم الأوامر والتحكم. لإحباط دفاعات الشبكة ، يستخدم برنامج التنزيل تقنيات إخفاء المعلومات التي تخفي حمولة مشفرة في ملف صورة. الحمولة النهائية تثبت مستتر يعرف باسم ROKRAT.

يعد اكتشاف كاسبرسكي لحاصدة البلوتوث دليلًا على أن ScarCruft تواصل تطوير قدراتها.

"لقد أظهرت ScarCruft نفسها لتكون مجموعة ماهرة ونشطة للغاية" ، وخلص آخر يوم الاثنين. "لديها مصلحة شديدة في الشؤون الكورية الشمالية ، حيث تهاجم العاملين في قطاع الأعمال الذين قد يكون لهم أي صلة بكوريا الشمالية ، فضلاً عن الوكالات الدبلوماسية في جميع أنحاء العالم. استنادًا إلى الأنشطة الأخيرة لـ ScarCruft ، نعتقد بقوة أن هذه المجموعة من المرجح أن تستمر في التطور. "