ScarCruft不断进化,引入蓝牙收割机
摘要
卡巴斯基安全研究人员最早是在2016年发现ScarCruft组织的攻击活动的,随后一直追踪。ScarCruft的交流语言为韩语,应该是有国家背景的黑客组织,主要攻击朝鲜半岛的组织和企业。
近日,研究人员发现了一些关于该组织的攻击活动。分析发现攻击者非常活跃,不断尝试精心制作其攻击攻击。研究人员分析发现了ScarCruft的攻击感染流程。他使用多阶段二进制文件感染来有效地更新每个模块并绕过检测。
研究人员还分析了攻击活动的受害者分布,发现其与DarkHotel APT组织的攻击活动有所重合。
多阶段二进制感染
研究人员发现ScarCruft组织使用常用的恶意软件传播技术,比如鱼叉式钓鱼攻击和Strategic Web Compromises (SWC)。在Operation Daybreak攻击活动中,攻击者使用了0 day漏洞利用来执行复杂攻击。对恶意软件开发者来说,使用公开的漏洞利用代码是更加快捷和高效的。中国菜刀
为了成功为final payload应用植入,ScarCruft使用了多阶段二进制感染方法。初始释放器最著名的函数就是绕过Windows UAC来以更高权限执行下一阶段payload。恶意软件使用公开的权限提取漏洞代码CVE-2018-8120 或UACME来就行权限提升。之后,installer恶意软件会从资源处创建一个下载器和配置文件并执行。下载器恶意软件使用配置文件并连接到C2服务器来提取下一阶段payload。为了绕过网络级的检测,下载器使用了隐写术。下载的payload是一个图像文件,但是其中含有待解密的恶意payload。
多阶段二进制文件感染
前面创建的final payload其实是一个后门——ROKRAT。基于云服务的后门含有许多特征,其中就包括窃取信息。执行后,恶意软件会创建10个随机的目录路径,并使用这些路径做特殊目的。恶意软件会同时创建11个线程,其中6个负责从受感染的主机上窃取信息,5个负责转发收集的数据到4个云服务,分别是Box, Dropbox, Pcloud和Yandex。在上传窃取的数据到云服务时,恶意软件会使用预定义的目录路径,比如/english, /video, /scriptout。
基于云的后门
相同的恶意软件含有后门的所有功能,命令是从云服务提供商的/script路径下载的,执行的结果会上传到/scriptout路径下。恶意软件支持以下命令来控制受感染的主机:
· 获取文件、进程列表
· 下载额外的payload并执行
· 执行Windows命令
· 更新包含云服务token信息的配置数据
· 保存截图和录音
ScarCruft组织在不断扩展其目标以从受感染的主机上窃取更多的信息,并持续创建工具进行其他的数据窃取。分析过程中,研究人员确认攻击者还对移动设备感兴趣。天空彩
研究人员还发现了攻击者创建的一个很少见的恶意软件——蓝牙设备收割机。该恶意软件负责窃取蓝夜设备的信息,是从一个下载器中提取处的,可以直接从受感染的主机上收集信息。恶意软件使用Windows蓝牙API来找出连接的是蓝牙设备的信息并保存以下信息。
· Instance Name: 设备名
· Address: 设备地址
· Class: 设备种类
· Connected: 设备是否连接(true/ false)
· Authenticated: 设备是否认证(true or false)
· Remembered: 是否记住设备(true or false)
攻击者在不断地增加从受害者处收集的信息的范围。
蓝牙信息收割机的路径
受害者分布
研究人员发现该攻击活动的受害者主要是越南和俄罗斯的投资和贸易企业。研究人员认为这可能与朝鲜有关,这就可以解释为什么ScarCruft要紧密地监控他们。ScarCruft还尝试攻击位于香港的一家外交机构和一家位于朝鲜的外交机构,据此可以判断ScarCruft的主要目标应该是政治和外交有关的情报机构。
攻击活动的受害者分布
与其他攻击活动存在交叉
研究人员分析发现一个俄罗斯的受害者过去访问过朝鲜。事实上该受害者访问朝鲜使其成为被攻击的目标。ScarCruft于2018年9月21日感染了该受害者,而该受害者于2018年3月26日就被另一个APT组织用GreezeBackdoor感染过。
GreezeBackdoor是 DarkHotel APT组织的工具。而且该受害者在2018年4月3日也被Konni恶意软件攻击过。Konni恶意软件在武器化的文档中伪装成一条朝鲜的新闻,文档的名字为Why North Korea slams South Korea’s recent defense talks with U.S-Japan.zip。
研究人员之前也发现过ScarCruft和DarkHotel这两个黑客组织有重叠。这两个黑客组织都是韩语攻击者,而且受害者分布有交叉。但这两个黑客组织有不同的TTP,因此研究人员认为其中一个攻击组织应该是隐藏在另一个攻击组织背后的。
总结
ScarCruft是一个技术精湛且非常活跃的黑客组织,主要关注朝鲜事务,攻击的也大多是与朝鲜有关的商业组织和外交机构。基于ScarCruft的最近活动,研究人员认为该组织还在不断地发展壮大。
ScarCruft不断进化,引入蓝牙收割机相关推荐
- BlueTooth 蓝牙与蓝牙4 0技术细节
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 蓝牙 蓝 ...
- iOS开发之蓝牙通信
一.引言 蓝牙是设备近距离通信的一种方便手段,在iPhone引入蓝牙4.0后,设备之间的通讯变得更加简单.相关的蓝牙操作由专门的 CoreBluetooth.framework进行统一管理.通过蓝牙进 ...
- 蓝牙BLE(协议栈、OSAL、蓝牙APP工具)
目录 蓝牙配对和绑定 蓝牙4.0 BLE 信道(RF Channel) BLE协议栈分层 PHY层(Physical layer 物理层) LL层(Link Layer 链路层) HCI层(Host ...
- AndroidStudio_android蓝牙开发总结_连接硬件设备_测量_血压_血糖_握力_心电_等---Android原生开发工作笔记244
关于硬件设备的蓝牙连接一般都有给的demo,一般情况下按照demo去写就可以了,但是实际情况下, 有时候,实际应用,要比demo要复杂一些,比如设备使用过程中,直接就断开,断电等异常情况比较多. 我看 ...
- 用蓝牙网络设计蓝牙低能耗智能应用程序.第1部分
这两个系列的第1部分详细介绍了蓝牙网状1协议的体系结构和功能.该协议作为蓝牙低能耗固件的补充堆栈,首次为蓝牙低功耗开放了标准的网状网络.此外,本文还详细介绍了蓝牙网格的优点和缺点,允许设计者将其与其他 ...
- 蓝牙配对码配置错误_漏洞问题频发,你还敢开你的蓝牙吗?
来自:FreeBuf,作者:Sandra1432 链接:https://www.freebuf.com/articles/wireless/250492.html 从1.0到5.0,蓝牙技术不断发展, ...
- RF和蓝牙的比较_凯利讯半导体
当涉及到从人类接口设备(HIDs)到物联网(物联网)的远程传感器时,设计者们有很多选择.需要做出的最基本的决策之一,以及许多设计师还在努力解决的一个问题是,是否要采用基于标准的射频接口,如Wi-Fi. ...
- 方正证券项目管理进化三部曲
本文整理自方正证券高级项目管理杨媛媛在Top100大会上的分享. 区别于互联网,金融行业的 IT 项目的特性为:项目周期长.项目量大.业务需求复杂.合规监管严格,同时与外部以及第三方的交互较多.在系统 ...
- iOS开发 -- 蓝牙版本
一.蓝牙4.0 (2010年6月30日发布) 速度:支持1Mbps数据传输率下的超短数据包,最少8个八位组(字节?),最多27个(字节?).所有连接都使用蓝牙2.1加入的减速呼吸模式(sniff su ...
最新文章
- Python Socket请求网站获取数据
- 高频PCB设计事项一
- 使用pytorch动手实现LSTM模块
- hadoop2.7之Mapper/reducer源码分析
- kuka机器人计算机单元有几部分组成,详解KUKA机器人系统原理与结构
- 地图的平移、缩放的实现(android版)
- asp之ajax技术:responstext中文乱码
- Linux——vi编辑器
- docker专题(2):docker常用管理命令(下)
- Linux如何查找软件的安装位置
- 计算机杀毒软件的功能,PC Hunter64(手工杀毒软件)的详细功能介绍
- 安防经济逐渐景气下行 安企是否能排除万难冲出阴霾?
- 语音合成(TTS)论文优选:Learning to Speak Fluently in a Foreign Language: Multilingual Speech Synthesis and Cr
- 【GNSS】GREAT多频多系统GREAT-UPD开源代码-第4.1章 代码解读之gnss.h/gnss.cpp
- 【记录】前端知识点 - Vue
- Windows查看网络连接并清理缓存
- rdkit安装指南-常见问题解决(rdkit找不到包、下载时加载0%)
- ed2k 网络中搜索资源并选择资源下载的分析及eMule源码梳理
- Seurat | 强烈建议收藏的单细胞分析标准流程(基础质控与过滤)(一)
- Jina AI 蝉联 2022 CB Insights 全球 AI 百强
热门文章
- lumion的物体系统5.30
- 单片机c语言孔雀开屏,单片机C语言案教程教学指南.doc
- 2021年WordPress主题Zibll子比主题V5.4资源主题免授权
- 信号分选SDIF算法仿真matlab
- Slicer4j运行defects4j(二)--运行benchmarks项目
- 新浪微博Oauth认证
- 如何真正让神经网络做到平移不变性,或者旋转不变性
- 常用HTTP协议响应码
- 3月13日云栖精选夜读:通过阿里云容器服务深度学习解决方案上手Caffe+多GPU训练...
- 浅谈《MediaPlayer》加载进度定时刷新