menargetkan perusahaan-perusahaan investasi dan agen-agen diplomatik telah menjelaskan beberapa praktik dan alat terbaru dari grup APT Korea Utara yang terkenal, ScarCruft.
Saat menyelidiki kampanye ini, peneliti dari Kaspersky Lab mengamati alat untuk memanen data perangkat Bluetooth dan mampu menganalisis prosedur infeksi biner multistage grup.
ScarCruft, juga dikenal sebagai APT37 , Group123 dan TEMP.Reaper , terkait erat dengan alat administrasi jarak jauh ROKRAT , yang digunakannya untuk melakukan spionase cyber. Dalam kampanye ini, target kelompok termasuk perusahaan investasi dan perdagangan yang berbasis di Vietnam dan Rusia, keduanya dengan kemungkinan hubungan ke Korea Utara, serta agen-agen diplomatik di Hong Kong dan Korea Utara. Satu korban Rusia, yang terinfeksi pada September 2018, diketahui mengunjungi Korea Utara, kata Kaspersky.
"Tampaknya ScarCruft terutama menargetkan intelijen untuk tujuan politik dan diplomatik," menurut posting blog perusahaan 13 Mei dari tim peneliti GReAT Kaspersky.
Mungkin penemuan yang paling menarik adalah pemanen data perangkat Bluetooth, yang menggunakan Windows Bluetooth API untuk menemukan informasi tentang perangkat Bluetooth yang terhubung ke host yang terinfeksi. Kaspersky menggambarkannya sebagai malware "langka" yang mengumpulkan dan menyimpan nama, alamat, dan kelas setiap perangkat, dan apakah itu terhubung, disahkan, atau diingat.
Dalam posting blog mereka, para peneliti Kaspersky juga merinci skema infeksi biner StarCruft. Proses dimulai dengan pembuatan dropper awal, yang memanfaatkan alat penilaian sumber terbuka UACME atau eksploitasi untuk kerentanan Windows CVE-2018-8120 untuk meningkatkan hak istimewa. Ini memungkinkan penyerang untuk mem-bypass Kontrol Akun Pengguna Windows dan mengeksekusi payload sekunder yang diambil dari server perintah-dan-kontrol.
"Untuk menghindari deteksi tingkat jaringan, pengunduh menggunakan steganografi," posting blog menjelaskan. "Muatan yang diunduh adalah file gambar, tetapi itu berisi muatan berbahaya yang ditambahkan untuk didekripsi."
Payload berbahaya adalah ROKRAT yang disebutkan di atas, yang berfungsi sebagai pintu belakang untuk mencuri informasi sensitif, tangkapan layar, dan rekaman audio dari korban. "Setelah dieksekusi, malware ini membuat 10 jalur direktori acak dan menggunakannya untuk tujuan yang ditentukan khusus," kata posting blog. “Malware menciptakan 11 utas secara bersamaan: enam utas bertanggung jawab untuk mencuri informasi dari host yang terinfeksi, dan lima utas untuk meneruskan data yang dikumpulkan ke empat layanan cloud.
Sumber Artikel SCMagazine
