ScarCruft: koreańskojęzyczny cybergang ewoluuje i tworzy szkodliwe oprogramowanie

2019-05-13
Badacze z Kaspersky Lab monitorujący aktywność ScarCruft, zaawansowanego koreańskojęzycznego cyberugrupowania, odkryli, że grupa ta testuje i tworzy nowe narzędzia oraz techniki, rozszerzając zarówno zakres, jak i ilość informacji uzyskiwanych od ofiar.

ScarCruft stworzył między innymi narzędzia umożliwiające identyfikowanie urządzeń połączonych za pomocą technologii Bluetooth.

Ugrupowanie ScarCruft jest prawdopodobnie sponsorowane przez jeden z rządów i przeważnie atakuje podmioty rządowe oraz firmy powiązane z półwyspem koreańskim, polując na informacje o znaczeniu politycznym. Ostatnia aktywność zaobserwowana przez firmę Kaspersky Lab świadczy o ewolucji omawianego ugrupowania, które testuje nowe szkodliwe narzędzia, wykazuje zainteresowanie danymi pochodzącymi z urządzeń przenośnych oraz w nowatorski sposób wykorzystuje legalne narzędzia oraz usługi w swoich operacjach cyberszpiegowskich.

Podobnie jak w przypadku innych zaawansowanych ugrupowań APT ataki ScarCruft rozpoczynają się od phishingu ukierunkowanego lub złamania zabezpieczeń strategicznych stron internetowych (tzw. ataki metodą wodopoju) przy użyciu exploita lub innych sposobów w celu zaatakowania określonych osób odwiedzających zasoby internetowe.

W przypadku ScarCruft następuje wówczas pierwszy etap infekcji umożliwiający obejście Windows UAC (kontrola konta użytkownika), co pozwala szkodnikowi wykonać kolejną szkodliwą funkcję o wyższych uprawnieniach przy użyciu kodu, który jest zwykle wykorzystywany w organizacjach do legalnych celów związanych z testami penetracyjnymi. W celu uniknięcia wykrycia na poziomie sieci szkodnik wykorzystuje steganografię, ukrywając szkodliwy kod w pliku graficznym. Ostatni etap infekcji polega na zainstalowaniu tylnej furtki (tzw. backdoora) o nazwie ROKRAT opartego na usłudze w chmurze. Backdoor ten gromadzi szeroki zakres informacji z systemów oraz urządzeń swoich ofiar i może je przesłać do czterech usług w chmurze: Box, Dropbox, pCloud oraz Yandex.Disk.

Badacze z Kaspersky Lab odkryli, że ScarCruft wykazuje zainteresowanie kradzieżą danych z urządzeń przenośnych, jak również zidentyfikowali szkodliwe oprogramowanie, które rozpoznali urządzenia z technologią Bluetooth przy użyciu interfejsu Windows Bluetooth API.

Z danych telemetrycznych wynika, że wśród ofiar kampanii opisywanego ugrupowania znajdują się firmy inwestycyjne i handlowe z Wietnamu oraz Rosji, mogące posiadać związki z Koreą Północną, jak również placówki dyplomatyczne w Hongkongu oraz Korei Północnej. Jedna z rosyjskich ofiar zagrożenia ScarCruft została wcześniej zaatakowana przez ugrupowanie DarkHotel.

Nie jest to pierwszy raz, gdy działania ScarCruft oraz DarkHotel w pewnym stopniu pokrywają się. Ugrupowania te łączą podobne cele ataków, różnią się natomiast pod względem stosowanych narzędzi, technik i procesów. To skłania nas do wniosku, że jedna grupa kryje się w cieniu drugiej. ScarCruft jest ostrożny i woli nie rzucać się w oczy. Z drugiej strony, pokazał się jako aktywne i wysoce kompetentne ugrupowanie, któremu nie brakuje pomysłowości w tworzeniu i wdrażaniu narzędzi. Jesteśmy głęboko przekonani, że nadal będzie ewoluowało — powiedział Seongsu Park, starszy badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

Wszystkie produkty firmy Kaspersky Lab skutecznie wykrywają i blokują opisywane zagrożenie.

Porady bezpieczeństwa

Badacze z Kaspersky Lab zalecają poniższe działania pozwalające zabezpieczyć się przed atakami ukierunkowanymi znanych i nieznanych cyberugrupowań:

· Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń, aby mógł być na bieżąco z najnowszymi narzędziami, technikami oraz taktykami wykorzystywanymi przez cyberprzestepców.

· W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.

· Oprócz niezbędnej ochrony punktów końcowych korzystaj z rozwiązania zabezpieczającego klasy enterprise, takiego jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.

· Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub innego rodzaju socjotechniki, wprowadź szkolenia w zakresie zwiększenia świadomości oraz wyposaż swój personel w praktyczne umiejętności.

Więcej informacji na temat ataków ugrupowania ScarCruft znajduje się na stronie https://r.kaspersky.pl/j2urx.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):

System komentarzy dostarcza serwis eGadki.pl

Ostatnio dodane artykuły:

HENDRICK’S GRAND CABARET: EKSTRAWAGANCJA W GINOWEJ ODSŁONIE
Hendrick’s przedstawia nową limitowaną edycję ginu Grand Cabaret z Gabinetu Osobliwości Mistrzyni Destylacji Pani Lesley Gracie. To szczególne miejsce, w którym sama Lesley od 2019 roku eksperymentuje i tworzy innowacyjne odmiany ginu Hendrick’s.

PowerWalker VFI 1000 ICT IoT — zasilacz UPS, którego obsłużysz za pomocą smartfona
W ostatnich latach coraz większą popularnością cieszą się produkty z kategorii Internet of Things. Jak się okazuje, zaliczyć do nich możemy nawet zasilacze awaryjne, a PowerWalker VFI 1000 ICT IoT jest idealnym tego przykładem.

Zapachowa podróż do słonecznych Włoch z limitowaną kolekcją SIDOLUX
Włochy – kraina, gdzie oliwki i pomarańcze dojrzewają w blasku słońca, a z okolicznych gajów unosi się zapach aromatycznych cytrusów i kwiatów.

więcej »

Najczęściej czytane artykuły:

Udogodnienia dla Instalatorów - w jakie urządzenia warto zainwestować?
Wraz z zapotrzebowaniem na efektywne systemy grzewcze, rośnie również potrzeba innowacyjnych rozwiązań ułatwiających pracę instalatorom. Zapewniają efektywność i oszczędność energii oraz zwiększają szybkość, precyzję i niezawodność procesu instalacji.

Wyjątkowe Potrawy na Świątecznym Stole (koszyk wielkanocny od HELIO)
Wielkanoc to czas, gdy stoły uginają się od pyszności i tradycyjnych potraw. Aby uczynić go jeszcze bardziej wyjątkowym, sięgnij po produkty od HELIO, które dodadzą niepowtarzalnego smaku i aromatu Twoim potrawom.

SEN DLA SKÓRY
SKUTECZNE FORMUŁY KOSMETYCZNE TO NIE WSZYSTKO. ODPOWIEDNIO DŁUGI SEN TO JEDEN Z FILARÓW PIELĘGNACJI. ABY UTRZYMAĆ SKÓRĘ W DOBREJ KONDYCJI NALEŻY ZADBAĆ O JEGO JAKOŚĆ I DŁUGOŚĆ. PODPOWIADAMY JAK ZADBAĆ O SKÓRĘ, ABY MAKSYMALNIE WYKORZYSTAĆ ZBAWIENNY WPŁYW SNU.

Jak wybrać gazową płytę grzewczą do małej kuchni?
Mała kuchnia może być wyzwaniem pod względem aranżacji wnętrza. Jednak odpowiedni dobór sprzętu – szczególnie gazowej płyty grzewczej – istotnie poprawia komfort gotowania i korzystnie wpływa na efektywne zagospodarowanie dostępnego miejsca. Na co zwrócić uwagę wybierając tego rodzaju sprzęt AGD?

Akcja Czysta Odra: Sprzątamy rzeki i chronimy klimat
Równo za dwa miesiące rusza trzecia edycja Akcji Czysta Odra. Tym razem chcemy zwrócić uwagę na rolę czystych rzek i mokradeł w kształtowaniu klimatu. Dołącz do tysięcy wolontariuszy i pomóż nam zmieniać świadomość i nawyki dla zdrowia planety.

Nawet 25 tys. zł za 1m2 mieszkania w górach. Karpacz i Wisła gonią Zakopane
Za 1m2 w zimowej stolicy Polski trzeba zapłacić średnio 24 946 zł. Nieco tańsze są Karpacz (ponad 20 tys. zł) i Wisła (ponad 19 tys. zł). Szklarska Poręba i Świeradów-Zdrój mają zbliżoną stawkę za 1m2 do Warszawy, czyli ponad 16 tys. zł.

Dwa lata wojny na Ukrainie - wpływ na Europę
Minęły dwa lata od rosyjskiej inwazji na Ukrainę, która spowodowała gwałtowny wzrost cen energii i inflacji, intensyfikując zacieśnianie polityki pieniężnej na całym świecie.

Zjedz Francuskie Śniadanie z REJS
Wyborna kawa, kruche pieczywo, aromatyczne sery, a do tego prezentacja najlepszych systemów i akcesoriów meblowych – tak w skrócie wygląda program Francuskich Śniadań REJS. Kolejna runda rusza już w marcu.

Na co warto zwracać uwagę w czasie ciąży? Kilka ważnych zasad
W trakcie ciąży należy przestrzegać kilku kluczowych zasad by zadbać o zdrowie swoje i dziecka.

48 metrów komfortu do wynajęcia
Jedna z ostatnich realizacji pracowni KOiKO Design, to 48-metrowe mieszkanie do wynajęcia, zlokalizowane w jednej z atrakcyjniejszych dzielnic Dąbrowy Górniczej, na osiedlu Nowa Dąbrowa.

Kultura języka to nasza wizytówka
Warto zadbać o kulturę języka, którym się posługujemy. Jego jakość to nasza wizytówka, dlatego propagujmy poprawne wysławianie się i dbajmy o nasz język.

EFL zawarł w 2023 roku niemal dwa razy więcej umów z podpisem elektronicznym
Dokumentacja firmowa to obecnie jeden z najdynamiczniej cyfryzujących się obszarów działalności polskich przedsiębiorstw.

Czy Internet 5G jest dostępny dla wszystkich?
O Internecie 5G mówi się sporo. Ma on zarówno swoich entuzjastów, jak i przeciwników. Dlatego omawiając ten temat, należy powiedzieć czym jest to sławetne 5G. Wtedy można podjąć świadomą decyzję, czy warto inwestować w routery 5G, jakie są obecnie w ofercie wielu operatorów, jak np. te od firmy ZTE.

Nowa pompa ciepła i wysokie rachunki za ogrzewanie – jak rozwiązać problem?
Ze względu na rosnące koszty ogrzewania coraz więcej Polaków szuka energooszczędnych rozwiązań. Świadczą o tym liczby - szacuje się, że tylko w ciągu ostatnich dwóch lat ponad 200 tysięcy inwestorów zdecydowało się na zakup i instalację pompy ciepła.

Polacy dużo rozmawiają w Internecie o organizacjach dobroczynnych
Polskim internautom fundacje i zbiórki kojarzą się głównie z działaniami na rzecz dzieci i młodzieży, ale największą popularność zyskują informacje o pomocy dla zwierząt, jak wynika z najnowszych danych Fundacji Dr Clown. Natomiast słowo „dobroczynność” często kojarzy się z religią.

więcej »