摘要
卡巴斯基安全研究人员最早是在2019年发现ScarCruft安排的进犯活动的,随后一向追寻。ScarCruft的沟通言语为韩语,应该是有国家布景的黑客安排,首要进犯朝鲜半岛的安排和企业。
近来,研究人员发现了一些关于该安排的进犯活动。剖析发现进犯者十分活泼,不断测验精心 *** 其进犯进犯。研究人员剖析发现了ScarCruft的进犯感染流程。他运用多阶段二进制文件感染来有效地更新每个模块并绕过检测。
研究人员还剖析了进犯活动的受害者散布,发现其与DarkHotel APT安排的进犯活动有所重合。
多阶段二进制感染
研究人员发现ScarCruft安排运用常用的歹意软件传达技能,比方鱼叉式垂钓进犯和Strategic Web Compromises (SWC)。在Operation Daybreak进犯活动中,进犯者运用了0 day缝隙运用来履行杂乱进犯。对歹意软件开发者来说,运用揭露的缝隙运用代码是愈加方便和高效的。
为了成功为final payload运用植入,ScarCruft运用了多阶段二进制感染办法。初始开释器最著名的函数便是绕过Windows UAC来以更高权限履行下一阶段payload。歹意软件运用揭露的权限提取缝隙代码CVE-2019-8120 或UACME来就行权限提高。之后,installer歹意软件会从资源处创立一个下载器和装备文件并履行。下载器歹意软件运用装备文件并衔接到C2服务器来提取下一阶段payload。为了绕过 *** 级的检测,下载器运用了隐写术。下载的payload是一个图像文件,可是其间含有待解密的歹意payload。
多阶段二进制文件感染
前面创立的final payload其实是一个后门——ROKRAT。根据云服务的后门含有许多特征,其间就包括盗取信息。履行后,歹意软件会创立10个随机的目录途径,并运用这些途径做特别意图。歹意软件会一起创立11个线程,其间6个担任从受感染的主机上盗取信息,5个担任转发搜集的数据到4个云服务,分别是Box, Dropbox, Pcloud和Yandex。在上传盗取的数据到云服务时,歹意软件会运用预界说的目录途径,比方/english, /video, /scriptout。
根据云的后门
相同的歹意软件含有后门的一切功用,指令是从云服务提供商的/script途径下载的,履行的成果会上传到/scriptout途径下。歹意软件支撑以下指令来操控受感染的主机:
· 获取文件、进程列表
· 下载额定的payload并履行
· 履行Windows指令
· 更新包括云服务token信息的装备数据
· 保存截图和录音
ScarCruft安排在不断扩展其方针以从受感染的主机上盗取更多的信息,并继续创立东西进行其他的数据盗取。剖析过程中,研究人员承认进犯者还对移动设备感兴趣。
研究人员还发现了进犯者创立的一个很少见的歹意软件——蓝牙设备收割机。该歹意软件担任盗取蓝夜设备的信息,是从一个下载器中提取处的,能够直接从受感染的主机上搜集信息。歹意软件运用Windows蓝牙API来找出衔接的是蓝牙设备的信息并保存以下信息。
· Instance Name: 设备名
· Address: 设备地址
· Class: 设备品种
· Connected: 设备是否衔接(true/ false)
· Authenticated: 设备是否认证(true or false)
· Remembered: 是否记住设备(true or false)
进犯者在不断地添加从受害者处搜集的信息的规模。
蓝牙信息收割机的途径
受害者散布
研究人员发现该进犯活动的受害者首要是越南和俄罗斯的出资和交易企业。研究人员以为这可能与朝鲜有关,这就能够解说为什么ScarCruft要严密地监控他们。ScarCruft还测验进犯坐落香港的一家交际机构和一家坐落朝鲜的交际机构,据此能够判别ScarCruft的首要方针应该是政治和交际有关的情报机构。
进犯活动的受害者散布
与其他进犯活动存在穿插
研究人员剖析发现一个俄罗斯的受害者曩昔拜访过朝鲜。事实上该受害者拜访朝鲜使其成为被进犯的方针。ScarCruft于2019年9月21日感染了该受害者,而该受害者于2019年3月26日就被另一个APT安排用GreezeBackdoor感染过。
GreezeBackdoor是 DarkHotel APT安排的东西。并且该受害者在2019年4月3日也被Konni歹意软件进犯过。Konni歹意软件在兵器化的文档中伪装成一条朝鲜的新闻,文档的姓名为Why North Korea slams South Korea’s recent defense talks with U.S-Japan.zip。
研究人员之前也发现过ScarCruft和DarkHotel这两个黑客安排有堆叠。这两个黑客安排都是韩语进犯者,并且受害者散布有穿插。但这两个黑客安排有不同的TTP,因而研究人员以为其间一个进犯安排应该是隐藏在另一个进犯安排背面的。
总结
ScarCruft是一个技能精深且十分活泼的黑客安排,首要重视朝鲜业务,进犯的也大多是与朝鲜有关的商业安排和交际机构。根据ScarCruft的最近活动,研究人员以为该安排还在不断地发展壮大。