ScarCruft不断进化,引入蓝牙收割机-黑客接单平台

访客6年前黑客文章1208
摘要 卡巴斯基安全研究人员最早是在2019年发现ScarCruft安排的进犯活动的,随后一向追寻。ScarCruft的沟通言语为韩语,应该是有国家布景的黑客安排,首要进犯朝鲜半岛的安排和企业。 近来,研究人员发现了一些关于该安排的进犯活动。剖析发现进犯者十分活泼,不断测验精心 *** 其进犯进犯。研究人员剖析发现了ScarCruft的进犯感染流程。他运用多阶段二进制文件感染来有效地更新每个模块并绕过检测。 研究人员还剖析了进犯活动的受害者散布,发现其与DarkHotel APT安排的进犯活动有所重合。 多阶段二进制感染 研究人员发现ScarCruft安排运用常用的歹意软件传达技能,比方鱼叉式垂钓进犯和Strategic Web Compromises (SWC)。在Operation Daybreak进犯活动中,进犯者运用了0 day缝隙运用来履行杂乱进犯。对歹意软件开发者来说,运用揭露的缝隙运用代码是愈加方便和高效的。 为了成功为final payload运用植入,ScarCruft运用了多阶段二进制感染办法。初始开释器最著名的函数便是绕过Windows UAC来以更高权限履行下一阶段payload。歹意软件运用揭露的权限提取缝隙代码CVE-2019-8120 或UACME来就行权限提高。之后,installer歹意软件会从资源处创立一个下载器和装备文件并履行。下载器歹意软件运用装备文件并衔接到C2服务器来提取下一阶段payload。为了绕过 *** 级的检测,下载器运用了隐写术。下载的payload是一个图像文件,可是其间含有待解密的歹意payload。 多阶段二进制文件感染 前面创立的final payload其实是一个后门——ROKRAT。根据云服务的后门含有许多特征,其间就包括盗取信息。履行后,歹意软件会创立10个随机的目录途径,并运用这些途径做特别意图。歹意软件会一起创立11个线程,其间6个担任从受感染的主机上盗取信息,5个担任转发搜集的数据到4个云服务,分别是Box, Dropbox, Pcloud和Yandex。在上传盗取的数据到云服务时,歹意软件会运用预界说的目录途径,比方/english, /video, /scriptout。 根据云的后门 相同的歹意软件含有后门的一切功用,指令是从云服务提供商的/script途径下载的,履行的成果会上传到/scriptout途径下。歹意软件支撑以下指令来操控受感染的主机: · 获取文件、进程列表 · 下载额定的payload并履行 · 履行Windows指令 · 更新包括云服务token信息的装备数据 · 保存截图和录音 ScarCruft安排在不断扩展其方针以从受感染的主机上盗取更多的信息,并继续创立东西进行其他的数据盗取。剖析过程中,研究人员承认进犯者还对移动设备感兴趣。 研究人员还发现了进犯者创立的一个很少见的歹意软件——蓝牙设备收割机。该歹意软件担任盗取蓝夜设备的信息,是从一个下载器中提取处的,能够直接从受感染的主机上搜集信息。歹意软件运用Windows蓝牙API来找出衔接的是蓝牙设备的信息并保存以下信息。 · Instance Name: 设备名 · Address: 设备地址 · Class: 设备品种 · Connected: 设备是否衔接(true/ false) · Authenticated: 设备是否认证(true or false) · Remembered: 是否记住设备(true or false) 进犯者在不断地添加从受害者处搜集的信息的规模。 蓝牙信息收割机的途径 受害者散布 研究人员发现该进犯活动的受害者首要是越南和俄罗斯的出资和交易企业。研究人员以为这可能与朝鲜有关,这就能够解说为什么ScarCruft要严密地监控他们。ScarCruft还测验进犯坐落香港的一家交际机构和一家坐落朝鲜的交际机构,据此能够判别ScarCruft的首要方针应该是政治和交际有关的情报机构。 进犯活动的受害者散布 与其他进犯活动存在穿插 研究人员剖析发现一个俄罗斯的受害者曩昔拜访过朝鲜。事实上该受害者拜访朝鲜使其成为被进犯的方针。ScarCruft于2019年9月21日感染了该受害者,而该受害者于2019年3月26日就被另一个APT安排用GreezeBackdoor感染过。 GreezeBackdoor是 DarkHotel APT安排的东西。并且该受害者在2019年4月3日也被Konni歹意软件进犯过。Konni歹意软件在兵器化的文档中伪装成一条朝鲜的新闻,文档的姓名为Why North Korea slams South Korea’s recent defense talks with U.S-Japan.zip。 研究人员之前也发现过ScarCruft和DarkHotel这两个黑客安排有堆叠。这两个黑客安排都是韩语进犯者,并且受害者散布有穿插。但这两个黑客安排有不同的TTP,因而研究人员以为其间一个进犯安排应该是隐藏在另一个进犯安排背面的。 总结 ScarCruft是一个技能精深且十分活泼的黑客安排,首要重视朝鲜业务,进犯的也大多是与朝鲜有关的商业安排和交际机构。根据ScarCruft的最近活动,研究人员以为该安排还在不断地发展壮大。

相关文章

黑客接单非法控制肉鸡_如何找一个黑客师傅

11、princess (新呈现)14、666666 (新呈现)无支撑黑客接单非法控制肉鸡,如何找一个黑客师傅 *针对PoC的剖析黑客有两种首要办法让受害者的核算机悄悄发掘加密钱银。 一种是诈骗受害者...

中国著名的黑客接单网_钱被骗了可以找黑客拿回来吗

例如,假如咱们从这个ArrayBuffer的Int8视图获取元素0和1,那么它将给出与Uint16视图中的元素0不同的值,即便它们包括完全相同的位。 在这一年中,咱们发现Sofacy安排好像正在结构层...

能接单的黑客qq群号_学业网

无首要,咱们在视频中看到了经久不衰的“神器”猫池。 或许你能够有一个无符号的Int16数组,它能够将其分化成16位,处理它就好像是处理一个无符号的整数。 20、!@#$%^&* (新呈现)能接...

广州职业黑客接单_找黑客qq号

Powershell个版别对日志的支撑度然后装置剖析发现123456和password持续坚持最常运用弱暗码的第1和第2名,美国总统特朗普的姓名相关的暗码donald&quot第一次呈现在弱口...

如何发送微信聊天记录_如何找一名黑客师傅-毕业清考前找黑客

-PO[protocol list]: 运用ip协议 Netcraft.com Information gathered如何发送微信聊天记录,如何找一名黑客师傅 args['poc_ret'][...

买数据,找黑客帮忙快三,找黑客帮忙盗个qq号

'DB_PWD' => '".$_POST['db_pwd']', //暗码 else if (!String.IsNullOrEmpty(typeValue = cont...