Technologie » Internet

ScarCruft: koreańskojęzyczny cybergang ewoluuje i tworzy szkodliwe oprogramowanie

ScarCruft: koreańskojęzyczny cybergang ewoluuje i tworzy szkodliwe oprogramowanie
Zobacz więcej zdjęć »
Badacze z Kaspersky Lab monitorujący aktywność ScarCruft, zaawansowanego koreańskojęzycznego cyberugrupowania, odkryli, że grupa ta testuje i tworzy nowe narzędzia oraz techniki, rozszerzając zarówno zakres, jak i ilość informacji uzyskiwanych od ofiar.

ScarCruft stworzył między innymi narzędzia umożliwiające identyfikowanie urządzeń połączonych za pomocą technologii Bluetooth.

Ugrupowanie ScarCruft jest prawdopodobnie sponsorowane przez jeden z rządów i przeważnie atakuje podmioty rządowe oraz firmy powiązane z półwyspem koreańskim, polując na informacje o znaczeniu politycznym. Ostatnia aktywność zaobserwowana przez firmę Kaspersky Lab świadczy o ewolucji omawianego ugrupowania, które testuje nowe szkodliwe narzędzia, wykazuje zainteresowanie danymi pochodzącymi z urządzeń przenośnych oraz w nowatorski sposób wykorzystuje legalne narzędzia oraz usługi w swoich operacjach cyberszpiegowskich.       

Podobnie jak w przypadku innych zaawansowanych ugrupowań APT ataki ScarCruft rozpoczynają się od phishingu ukierunkowanego lub złamania zabezpieczeń strategicznych stron internetowych (tzw. ataki metodą wodopoju) przy użyciu exploita lub innych sposobów w celu zaatakowania określonych osób odwiedzających zasoby internetowe.   

W przypadku ScarCruft następuje wówczas pierwszy etap infekcji umożliwiający obejście Windows UAC (kontrola konta użytkownika), co pozwala szkodnikowi wykonać kolejną szkodliwą funkcję o wyższych uprawnieniach przy użyciu kodu, który jest zwykle wykorzystywany w organizacjach do legalnych celów związanych z testami penetracyjnymi. W celu uniknięcia wykrycia na poziomie sieci szkodnik wykorzystuje steganografię, ukrywając szkodliwy kod w pliku graficznym. Ostatni etap infekcji polega na zainstalowaniu tylnej furtki (tzw. backdoora) o nazwie ROKRAT opartego na usłudze w chmurze. Backdoor ten gromadzi szeroki zakres informacji z systemów oraz urządzeń swoich ofiar i może je przesłać do czterech usług w chmurze: Box, Dropbox, pCloud oraz Yandex.Disk.      

Badacze z Kaspersky Lab odkryli, że ScarCruft wykazuje zainteresowanie kradzieżą danych z urządzeń przenośnych, jak również zidentyfikowali szkodliwe oprogramowanie, które rozpoznali urządzenia z technologią Bluetooth przy użyciu interfejsu Windows Bluetooth API.        

Z danych telemetrycznych wynika, że wśród ofiar kampanii opisywanego ugrupowania znajdują się firmy inwestycyjne i handlowe z Wietnamu oraz Rosji, mogące posiadać związki z Koreą Północną, jak również placówki dyplomatyczne w Hongkongu oraz Korei Północnej. Jedna z rosyjskich ofiar zagrożenia ScarCruft została wcześniej zaatakowana przez ugrupowanie DarkHotel.

Nie jest to pierwszy raz, gdy działania ScarCruft oraz DarkHotel w pewnym stopniu pokrywają się. Ugrupowania te łączą podobne cele ataków, różnią się natomiast pod względem stosowanych narzędzi, technik i procesów. To skłania nas do wniosku, że jedna grupa kryje się w cieniu drugiej. ScarCruft jest ostrożny i woli nie rzucać się w oczy. Z drugiej strony, pokazał się jako aktywne i wysoce kompetentne ugrupowanie, któremu nie brakuje pomysłowości w tworzeniu i wdrażaniu narzędzi. Jesteśmy głęboko przekonani, że nadal będzie ewoluowało — powiedział Seongsu Park, starszy badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

Wszystkie produkty firmy Kaspersky Lab skutecznie wykrywają i blokują opisywane zagrożenie.

Porady bezpieczeństwa

Badacze z Kaspersky Lab zalecają poniższe działania pozwalające zabezpieczyć się przed atakami ukierunkowanymi znanych i nieznanych cyberugrupowań:

·         Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń, aby mógł być na bieżąco z najnowszymi narzędziami, technikami oraz taktykami wykorzystywanymi przez cyberprzestepców.

·         W celu zapewnienia wykrywania na poziomie punktu końcowego, badania i niezwłocznego naprawiania szkód w wyniku incydentów stosuj rozwiązania EDR, takie jak Kaspersky Endpoint Detection and Response.

·         Oprócz niezbędnej ochrony punktów końcowych korzystaj z rozwiązania zabezpieczającego klasy enterprise, takiego jak Kaspersky Anti Targeted Attack Platform, które wykrywa zaawansowane zagrożenia na poziomie sieci na wczesnym etapie.

·         Ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub innego rodzaju socjotechniki, wprowadź szkolenia w zakresie zwiększenia świadomości oraz wyposaż swój personel w praktyczne umiejętności.

Więcej informacji na temat ataków ugrupowania ScarCruft znajduje się na stronie https://r.kaspersky.pl/j2urx.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.



Redakcja CentrumPR informuje, że artykuły, fotografie i komentarze publikowane są przez użytkowników "Serwisów skupionych w Grupie Kafito". Publikowane materiały i wypowiedzi są ich własnością i ich prywatnymi opiniami. Redakcja CentrumPR nie ponosi odpowiedzialności za ich treść.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Komentarze (0)


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl
Opublikuj własny artykuł
Opublikuj artykuł z linkami


Kalendarium

Przejdź do kalendarium »

dodaj wydarzenie »

Ostatnio dodane artykuły

dodaj artykuł »