Se crede că grupul APT ScarCruft este sponsorizat de stat și, de obicei, vizează entități guvernamentale și companii care au legături cu Peninsula Coreeană, aparent in căutare de informații de interes politic. În cea mai recentă activitate observată de Kaspersky Lab, sunt semne că acest grup evoluează, testând noi exploit-uri, manifestându-și interesul pentru datele de pe dispozitivele mobile și dovedindu-se foarte creativ în adaptarea instrumentelor și serviciilor legitime la operațiunile sale de spionaj cibernetic.
Atacurile grupului încep, la fel ca cele ale multor altor grupuri APT, fie cu phishing, fie cu o compromitere strategică a site-urilor - atac cunoscut sub numele de „watering-hole” - folosind un exploit sau alte trucuri pentru a infecta anumiți vizitatori.
În cazul ScarCruft, urmează o infecție, în primă fază, care poate ocoli Windows UAC (User Account Control), ceea ce îi permite să lanseze următoarea „încărcătură”, cu privilegii mai mari, folosind cod lansat în mod normal în organizații pentru teste legitime de intruziune. Pentru a evita detecția la nivel de rețea, malware-ul utilizează steganografia, ascunzând codul infectat într-un fișier imagine. Etapa finală a infecției implică instalarea unui backdoor bazat pe servicii de tip cloud, cunoscut sub numele de ROKRAT. Backdoor-ul colectează o gamă largă de informații din sistemele și dispozitivele victimei și le poate transmite către patru servicii cloud: Box, Dropbox, pCloud și Yandex.Disk.
Cercetătorii Kaspersky Lab au descoperit un interes crescut față de furtul de date de pe dispozitivele mobile, precum și pentru programele malware care colectează informații despre dispozitivele Bluetooth, utilizând Windows Bluetooth.
Pe baza datelor de telemetrie, printre victimele acestei campanii se numără societăți de investiții și comerciale din Vietnam și Rusia, care ar putea avea legături cu Coreea de Nord, și entități diplomatice din Hong Kong și Coreea de Nord. O victimă cu sediul în Rusia, infectată de ScarCruft, a fost anterior descoperită printre victimele grupului DarkHotel, de asemenea vorbitor de limbă coreeană.
„Nu este prima dată când am văzut suprapunerea dintre ScarCruft și DarkHotel. Au interese similare în ceea ce privește obiectivele, dar instrumente, tehnici și procese foarte diferite. Acest lucru ne face să credem că unul dintre grupuri stă, de obicei, în umbra celuilalt. ScarCruft este prudent și evită să iasă în evidență, însă s-a dovedit un grup cu abilități avansate și activ, cu o inventivitate deosebită în ceea ce privește dezvoltarea și folosirea instrumentelor de atac. Credem că va continua să evolueze", a spus Seongsu Park, senior security researcher, Global Research and Analysis Team, Kaspersky Lab.
Toate produsele Kaspersky Lab detectează și blochează această amenințare.
Pentru a nu cădea victimă unui atac direcționat al unui grup cunoscut sau necunoscut, cercetătorii Kaspersky Lab recomandă implementarea următoarelor măsuri:
- Oferiți echipei de securitate acces la cele mai recente informații despre amenințări, pentru a fi la curent cu instrumentele, tehnicile și tacticile noi și emergente utilizate de atacatorii avansați și de infractorii cibernetici.
- Pentru detectarea, investigarea și remedierea în timp util a incidentelor la nivel endpoint implementați soluții EDR (Endpoint Detection and Response), cum ar fi Kaspersky Endpoint Detection and Response.
- Pe lângă adoptarea unei protecțiii endpoint elementare, implementați o soluție de securitate corporate care detectează într-o fază incipientă amenințări avansate la nivelul rețelei.
- Deoarece numeroasele atacuri direcționate încep cu phishing sau cu alte tehnici de inginerie socială, introduceți training-uri de conștientizare în materie de securitate și învățați-vă angajații lucruri practice.
Informații suplimentare despre activitatea recentă a ScarCruft pot fi găsite pe Securelist.