圖片來源:翻攝自https://twitter.com/Securelist/status/1127947905753604096

卡巴斯基(Kaspersky Lab)研究人員發現一個由北韓政府資助的駭客組織正在發動攻擊,疑似瞄準企業及外交單位以惡意程式蒐集連結Windows PC的藍牙裝置資訊,顯示駭客注意力現在也開始擴及行動裝置。

研究人員追查到的攻擊行動來自一個名為ScarCruft的駭客組織。這個組織使用韓語,可能和北韓政府有關。2016年這個組織曾經針對Adobe Flash的零時差漏洞發動名為「破曉行動」的攻擊,而在這次行動中,ScarCruft則採取多階段感染攻擊策略。

在第一階段,一隻病毒植入程式(dropper)經由CVE-2018-8120權限升級漏洞入侵Windows PC,藉此躲過Windows的使用者帳號控制(User Account Control, UAC)的檢查。之後它建立一個下載程式(downloader),這個厲害的程式運用圖像隱碼術(steganography)成功躲過網路層的偵測,與外部C&C伺服器建立連線下載了名為ROKRAT的後門程式,它具有竊密、擷圖、錄音和蒐集磁碟資訊和檔案的能力,再從感染的機器上傳雲端硬碟。

卡巴斯基研究人員還進一步發現一個罕見的惡意程式,即藍牙裝置採集器(harvester)。這個程式也是由ScarCruft的downloader下載到受害機器上,可利用Windows Bluetooth API尋找連接機器的藍牙裝置,並蒐集包括裝置名稱、裝置位置、Class類型、以及連網、驗證及記憶與否的狀態資訊,顯示駭客對受害者蒐集的資料範圍愈來愈廣。

研究人員發現ScarCruft這波攻擊對象包括越南和俄羅斯的投資公司和外交機構,也攻擊了香港及北韓境內的外交機構,可能是鎖定與北韓有關係的民間企業和外交單位。ScarCruft和另一個北韓APT組織DarkHotel多有雷同,其中一家俄羅斯公司更是自去年以來,接連遭到三次來自北韓的惡意程式攻擊。卡巴斯基研究人員相信,ScarCruft勢必會持續精進其攻擊能力。 


Advertisement

更多 iThome相關內容