Advertisements
May 23, 2019
  • 7:46 pm IMPORTANT! DE ACUM VĂ PUTEȚI ABONA LA FLUXUL DE ALERTE JOBURI IN IT.RO!
  • 7:57 pm Integrity Meter a lansat o platformă inovativă pentru recrutarea și retenția celor mai buni angajați
  • 4:00 pm SAP lansează un nou curs gratuit împreună cu fostul campion mondial la box Dr. Wladimir Klitschko
  • 3:58 pm Record: 17 milioane de cărți livrate de elefant.ro din 2010 și până în prezent
  • 3:55 pm Blocajul financiar se accentuează: 7 din 10 companii își plătesc cu greu facturile
  • 3:53 pm Târgul Copiilor Antreprenori revine cu cinci noi ediții

Cercetatorii Kaspersky Lab care monitorizeaza activitatea ScarCruft, un grup experimentat de atacatori, de limba coreeana, au descoperit ca grupul testeaza si creeaza noi instrumente si tehnici si isi extinde atat gama, cat si volumul de informatii colectate de la victime. Printre altele, grupul a creat un cod capabil sa identifice dispozitive Bluetooth conectate.

Se crede ca grupul APT ScarCruft este sponsorizat de stat si, de obicei, vizeaza entitati guvernamentale si companii care au legaturi cu Peninsula Coreeana, aparent in cautare de informatii de interes politic. In cea mai recenta activitate observata de Kaspersky Lab, sunt semne ca acest grup evolueaza, testand noi exploit-uri, manifestandu-si interesul pentru datele de pe dispozitivele mobile si dovedindu-se foarte creativ in adaptarea instrumentelor si serviciilor legitime la operatiunile sale de spionaj cibernetic.

Atacurile grupului incep, la fel ca cele ale multor altor grupuri APT, fie cu phishing, fie cu o compromitere strategica a site-urilor – atac cunoscut sub numele de „watering-hole” – folosind un exploit sau alte trucuri pentru a infecta anumiti vizitatori.

In cazul ScarCruft, urmeaza o infectie, in prima faza, care poate ocoli Windows UAC (User Account Control), ceea ce ii permite sa lanseze urmatoarea „incarcatura”, cu privilegii mai mari, folosind cod lansat in mod normal in organizatii pentru teste legitime de intruziune. Pentru a evita detectia la nivel de retea, malware-ul utilizeaza steganografia, ascunzand codul infectat intr-un fisier imagine. Etapa finala a infectiei implica instalarea unui backdoor bazat pe servicii de tip cloud, cunoscut sub numele de ROKRAT. Backdoor-ul colecteaza o gama larga de informatii din sistemele si dispozitivele victimei si le poate transmite catre patru servicii cloud: Box, Dropbox, pCloud si Yandex.Disk.

Cercetatorii Kaspersky Lab au descoperit un interes crescut fata de furtul de date de pe dispozitivele mobile, precum si pentru programele malware care colecteaza informatii despre dispozitivele Bluetooth, utilizand Windows Bluetooth.

Pe baza datelor de telemetrie, printre victimele acestei campanii se numara societati de investitii si comerciale din Vietnam si Rusia, care ar putea avea legaturi cu Coreea de Nord, si entitati diplomatice din Hong Kong si Coreea de Nord. O victima cu sediul in Rusia, infectata de ScarCruft, a fost anterior descoperita printre victimele grupului DarkHotel, de asemenea vorbitor de limba coreeana.

 

 

„Nu este prima data cand am vazut suprapunerea dintre ScarCruft si DarkHotel. Au interese similare in ceea ce priveste obiectivele, dar instrumente, tehnici si procese foarte diferite. Acest lucru ne face sa credem ca unul dintre grupuri sta, de obicei, in umbra celuilalt. ScarCruft este prudent si evita sa iasa in evidenta, insa s-a dovedit un grup cu abilitati avansate si activ, cu o inventivitate deosebita in ceea ce priveste dezvoltarea si folosirea instrumentelor de atac. Credem ca va continua sa evolueze”, a spus Seongsu Park, senior security researcher, Global Research and Analysis Team, Kaspersky Lab.

Toate produsele Kaspersky Lab detecteaza si blocheaza aceasta amenintare.

Pentru a nu cadea victima unui atac directionat al unui grup cunoscut sau necunoscut, cercetatorii Kaspersky Lab recomanda implementarea urmatoarelor masuri:

  • Oferiti echipei de securitate acces la cele mai recente informatii despre amenintari, pentru a fi la curent cu instrumentele, tehnicile si tacticile noi si emergente utilizate de atacatorii avansati si de infractorii cibernetici.
  • Pentru detectarea, investigarea si remedierea in timp util a incidentelor la nivel endpoint implementati solutii EDR (Endpoint Detection and Response), cum ar fi Kaspersky Endpoint Detection and Response.
  • Pe langa adoptarea unei protectiii endpoint elementare, implementati o solutie de securitate corporate care detecteaza intr-o faza incipienta amenintari avansate la nivelul retelei.
  • Deoarece numeroasele atacuri directionate incep cu phishing sau cu alte tehnici de inginerie sociala, introduceti training-uri de constientizare in materie de securitate si invatati-va angajatii lucruri practice.

Informatii suplimentare despre activitatea recenta a ScarCruft pot fi gasite pe Securelist.

Advertisements
admin

Redactor online cu o experiență de aproape zece ani.

RELATED ARTICLES
LEAVE A COMMENT

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: