“蓝牙收割机”强势袭来，你的个人信息并不安全

在2016年发布了我们最初的一系列博客文章之后，我们继续追踪ScarCruft的威胁要素。ScarCruft使用韩语进行活动，据称是国家支持的威胁行为活动团体，通常针对与朝鲜半岛有关的组织和公司。从表面上看，这个致命威胁要素称得上是诡计多端。

 

我们最近发现了一些关于这个威胁要素的有趣观察，并决定深入研究ScarCruft最近的活动。这表明参与者仍然非常活跃，并不断地尝试精心设计其攻击工具。基于我们的遥测技术，我们可以重组ScarCruft的双重感染程序。此外，我们分析了这场运动的受害者，并发现了这场运动与另一个被称为DarkHotel的威胁要素的重叠之处。

 

多级二进制感染

 

ScarCruft使用常见的恶意软件传递技术，如鱼叉式网络钓鱼和策略性Web渗透(SWC)。与Daybreak操作一样，这个角色威胁要素使用0day漏洞执行复杂的攻击。然而，对于恶意软件作者来说，有时使用公共攻击代码更快更有效。我们目睹了这个威胁要素在为下一次攻击做准备的过程中，对一个已知漏洞进行测试及利用。

 

为了部署最终有效负载的植入程序，ScarCruft使用了一个多级二进制感染方案。通常，最初的植入程序是由感染程序创建的。它最显著的功能之一是绕过Windows UAC（用户帐户控制），以执行具有更高权限的下一个有效负载。该恶意软件使用公共权限升级攻击代码CVE-2018-8120或UACME，然后，恶意软件安装程序从它的资源创建一个下载程序和一个配置文件并执行它。下载恶意软件并使用配置文件连接到C2服务器来获取下一个有效负载。为了避免网络级检测，下载器使用了隐写技术。下载的有效负载是一个图像文件，但它包含要解密的附加恶意负载。

 

 

01-多级二进制感染

 

通过上述过程创建的最终有效负载就是众所周知的后门，也被Cisco Talos称为ROKRAT。这个基于云服务的后门包含许多特性。它的主要功能之一是窃取信息。在执行时，这个恶意软件创建10个随机目录路径，并将它们用于特定目的。恶意软件同时创建11个线程：6个线程负责窃取受感染主机的信息，5个线程负责将收集到的数据转发给4个云服务(Box、Dropbox、Pcloud和Yandex)。当上传被盗数据到云服务时，它使用预定义的目录路径，如/english、/video或/scriptout。

 

 

02-基于云计算的后门

 

同样的恶意软件包含功能齐全的后门功能。这些命令从云服务提供者的/script路径下载，并将各自的执行结果上传到/scriptout路径。它支持以下命令，足以完全控制受感染的主机：

 

查看文件/进程列表

下载附加代码并执行

执行Windows命令

更新配置数据，包括云服务token信息

保存截图和音频记录

 

ScarCruft组不断扩展其过滤目标，以便从受感染的主机窃取更多信息，并继续创建用于额外数据过滤的工具。

 

在我们的研究中发现他们对移动设备很有兴趣。

例如由这个威胁因素创建的稀有恶意软件——蓝牙设备收割机。这个恶意软件负责窃取蓝牙设备信息。它由下载程序获取，并直接从受感染的主机收集信息。这个恶意软件使用Windows蓝牙api在连接的蓝牙设备上查找信息，并保存以下信息。

 

实例名:设备名

地址:设备地址

分类:设备的分类

连接:设备是否连接(true or false)

认证:设备是否通过认证(true or false)

记忆:设备是否为记忆设备(true or false)

 

截至目前，攻击者似乎在扩大增加从受害者那里收集到的信息范围。

 

 

03-建立蓝牙信息采集器路径

 

受害者研究

 

根据越南和俄罗斯的遥测数据，我们发现这场运动的几个受害者可能与朝鲜有一些联系，这或许可以解释为什么ScarCruft决定密切监视他们。ScarCruft还袭击了香港和朝鲜的外交机构。因此可以断定ScarCruft主要针对的是政治和外交目的的情报。

 

04-这场运动的受害者

 

与其他威胁要素重叠

 

我们发现了一名来自俄罗斯的受害者，他过去在朝鲜逗留期间也触发了恶意软件检测。这名受害者访问朝鲜的经历使其具有特殊性，并表明它可能拥有关于朝鲜事务的宝贵信息。2018年9月21日，ScarCruft攻击了这名患者。然而，在ScarCruft感染之前，另一个APT团体也在2018年3月26日针对该受害者，令其主机感染了GreezeBackdoor。

 

GreezeBackdoor是DarkHotel APT集团的一个工具，我们之前已经写过。此外，该受害者也在2018年4月3日受到了Konni恶意软件的攻击。恶意软件Konni伪装成武器化文件中的朝鲜新闻条目来诱导受害者点开浏览，该文件的名称是“为什么朝鲜要猛烈抨击韩国最近与美日的防务对话”。

 

 

05-感染时间线

 

这并不是我们第一次看到ScarCruft 和DarkHotel 两种威胁要素的重叠。他们都是说韩语的威胁行为者，有时他们的受害者心理也有重叠。但两组人似乎都有不同的TTP（战术、技术和程序），这让我们相信，其中一组人经常潜伏在另一组人的影子里。

 

结论

 

ScarCruft已经证明自己是一个拥有高超技巧和高活跃度的团队。它对朝鲜事务有着浓厚的兴趣，攻击那些可能与朝鲜有任何联系的商界人士以及全球的外交机构。基于ScarCruft最近的活动，我们坚信这个团队很可能会继续进化。

For 企业

面对不断升级的攻击，企业如何才能更好应对？依靠装几个安全设备和安全软件就想永葆安全显然是不现实的，企业需要的是建立动态、综合的防护体系。

在上面的案例中，APT攻击团队经常利用各种已知或未知漏洞来实施危险行动，窃取关键信息。因此，漏洞防护对企业安全来说极为重要。

For 个人

对于个人来说，养成谨慎、安全的上网习惯尤为重要。例如：

1. 不要打开浏览器突然跳出的弹窗广告以及网页上的可疑链接。

2. 警惕陌生人发送的邮件（一般含有跳转链接）以及好友申请信息。

3. 谨慎使用公共网络进行账户登录等。

 

— end　—

安全之道，青松知道