Istraživači kompanije Kaspersky Lab su nadgledajući aktivnost ScarCruft grupe, veštog aktera pretnji sa korejskog govornog područja, otkrili da grupa testira i kreira nove alate i tehnike i proširuje opseg i količinu informacija prikupljenih od žrtava. Između ostalog, grupa je kreirala kod koji može da prepozna povezane Bluetooth uređaje.
Veruje se da je trajna pretnja (APT) ScarCruft sponzorisana od strane države i da uglavnom napada vladine entitete i kompanije povezane sa korejskim poluostrvom, navodno u potrazi za informacijama od političkog interesa. U poslednjoj aktivnosti posmatranoj od strane kompanije Kaspersky Lab, postoje znakovi da akter pretnji razvija, testira nove eksploite, interesuje se za podatke sa mobilnih uređaja i pokazuje snalažljivost u prilagođavanju legitimnih alata i usluga svojim operacijama sajber špijunaže.
Napadi grupe započinju, kao i kod mnogih drugih APT grupa, spir-fišingom ili strateškim kompromitovanjem vebsajta – takođe poznatim kao napadi ‘zalivnom rupom’ – koristeći eksploite ili ostale trikove da zarazi određene posetioce.
U slučaju grupe ScarCruft, ovo je propraćeno prvostepenom infekcijom koja može da zaobiđe Windows UAC (User Account Control), što joj omogućava da izvrši sledeću korisnu nosivost sa većim privilegijama, koristeći kod koji se normalno razvija u organizacijama za svrhe legitimnog testiranja upada. Kako bi izbegao prepoznavanje na nivou mreže, malver koristi steganografiju, krijući maliciozni kod u fajlu za slike. Krajnji stadijum infekcije uključuje instaliranje bekdora zasnovanog na cloud servisu, poznatog kao ROKRAT. Bekdor sakuplja širok opseg informacija sa sistema i uređaja žrtvi, i može ih proslediti na četiri cloud servisa: Box, Dropbox, pCloud i Yandex.Disk.
Istraživači kompanije Kaspersky Lab su otkrili interesovanje za krađu podataka sa mobilnih uređaja, kao i malver koji uzima otiske prstiju Bluetooth uređajima koristeći Windows Bluetooth API.
Na osnovu telemetrijskih podataka, žrtve ove kampanje uključuju investicione i trgovinske kompanije u Vijetnamu i Rusiji koje mogu biti povezane sa Severnom Korejom i diplomatskim entitetima u Hong Kongu i Severnoj Koreji. Za jednu žrtvu u Rusiji, zaraženu od strane ScarCruft-a otkriveno je da ju je prethodno napala grupa DarkHotel sa korejskog govornog područja.
,,Ovo nije prvi put da vidimo preklapanje grupa DarkHotel i ScarCruft. Imaju slična interesovanja u kontekstu meta, ali veoma različite alate, tehnike i procese. Ovo nas navodi da verujemo da je jedna grupa redovno u senci druge. Grupa ScarCruft je obazriva i voli da se održava neprimetnom, ali se pokazala kao aktivna grupa sa istaknutim veštinama i značajnom snalažljivošću kada je reč o načinu na koji razvija i raspoređuje alate. Čvrsto verujemo da će nastaviti da se razvija,” rekao je Siongsu Park (Seongsu Park), vodeći istraživač bezbednosti u timu za globalno istraživanje i analizu u kompaniji Kaspersky Lab.
Svi proizvodi kompanije Kaspersky Lab uspešno prepoznaju i otklanjaju ovu pretnju.
Kako ne biste postali žrtva ciljanih napada poznatih ili nepoznatih aktera pretnji, istraživači kompanije Kaspersky Lab vam preporučuju implementaciju sledećih mera:
- Obezbedite vašem SOC timu pristup najnovijim informacijama o pretnjama (Threat Intelligence), kako biste bili u toku sa novim i nadolazećim alatima, tehnikama i taktikama koje akteri pretnji i sajber kriminalci koriste.
- Za detekciju krajnjeg nivoa, istraživanje i pravovremeno otklanjanje incidenata, uvedite EDR rešenja kao što je Kaspersky Endpoint Detection and Response.
- Kao dodatak usvajanju neophodne krajnje zaštite, uvedite bezbednosno rešenje korporativnog nivoa koje prepoznaje napredne pretnje na nivou mreže u ranim stadijumima, kao što je Kaspersky Anti Targeted Attack Platform.
- S obzirom na to da mnogi ciljani napadi otpočinju sa fišingom ili drugim tehnikama socijalnog inženjeringa, uvedite obuku za podizanje svest o bezbednosti i podučavajte praktične veštine, na primer kroz Kaspersky Automated Security Awareness Platform.