ScarCruft持续觉醒，导入蓝牙收割机

引言

卡巴斯基安会探讨工作员最开始是在2016年发觉ScarCruft机构的进攻活動的，接着始终跟踪。ScarCruft的沟通語言为韩文，应当是有國家背静的黑客组织，关键进攻朝鲜韩国的机构和公司。

前不久，探讨工作员发觉了某些有关该机构的进攻活動。剖析发觉网络攻击十分快速增长，持续试着纯手工制作其进攻进攻。探讨工作员剖析发觉了ScarCruft的进攻感柒步骤。他应用多环节二进制文件感柒来合理地升级每一模快并绕开检验。

探讨工作员还剖析了进攻活動的受害人遍布，发觉其与DarkHotel APT机构的进攻活動进而重叠。

多环节二进制感柒

探讨工作员发觉ScarCruft机构应用常见的恶意程序散播工艺，例如渔叉式钓鱼攻击和Strategic Web Compromises (SWC)。在Operation Daybreak进攻活動中，网络攻击应用了0 day漏洞利用来实行繁杂进攻。对恶意程序开发人员而言，应用公布的漏洞利用编码是更为便捷和效率的。

以便完成为final payload运用嵌入，ScarCruft应用了多环节二进制感柒方式。原始释放器最知名的涵数也是绕开Windows UAC来以更高限权实行下一步工作payload。恶意程序应用公布的限权获取木马病毒编码CVE-2018-8120 或UACME来就行限权提高。以后，installer恶意程序银从資源处建立1个下载器和配置文件并实行。下载器恶意程序应用配置文件并联接到C2虚拟主机来获取下一步工作payload。以便绕开互联网级的检验，下载器应用了隐写术。下載的payload是1个图像文件，可是列举带有待破译的故意payload。

多环节二进制文件感柒

前边建立的final payload我觉得是1个侧门——ROKRAT。应用场景云存储的侧门带有很多特点，其中就包括盗取消息。实行后，恶意程序会建立10个任意的文件名文件名，并应用这种文件名做独特目地。恶意程序会一起建立11个进程，列举6个承担从受感柒的服务器上盗取消息，5个承担发送搜集的统计资料到4个云存储，各自是Box, Dropbox, Pcloud和Yandex。在发送盗取的统计资料到云存储时，恶意程序会应用预定义的文件名文件名，例如/english, /video, /scriptout。

应用场景云的侧门

同样的恶意程序带有侧门的全部作用，指令是以云服务供应商的/script文件名下載的，实行的結果大会主持词传入/scriptout文件名下。恶意程序适用下列指令来操纵受感柒的服务器：

· 获得文档、程序目录

· 下載附加的payload并实行

· 实行Windows指令

· 升级包括云存储token消息的配备统计资料

· 储存截屏和音频

ScarCruft机构在持续拓展其目的以从受感柒的服务器上盗取大量的消息，并不断建立道具开展别的的统计资料盗取。剖析流程中，探讨工作员确定网络攻击还对移动终端喜欢。

探讨工作员还发觉了网络攻击建立的1个非常少见的恶意程序——蓝牙设备收割机。该恶意程序承担盗取蓝夜设施的消息，是以1个下载器中获取处的，能够立即从受感柒的服务器上搜集消息。恶意程序应用Windows蓝牙API来找到联接的是蓝牙设备的消息并储存下列消息。

· Instance Name: 设施名

· Address: 设施地点

· Class: 设施类型

· Connected: 设施是不是联接(true/ false)

· Authenticated: 设施是不是验证(true or false)

· Remembered: 是不是记牢设施(true or false)

网络攻击在一次又一次提升从受害人处搜集的消息的范畴。

蓝牙消息收割机的文件名

受害人遍布

探讨工作员发觉该进攻活動的受害人关键是柬埔寨和乌克兰的注资和进出口公司。探讨工作员觉得这将会与朝鲜相关，这就能够表述为何ScarCruft要密不可分地监视器她们。ScarCruft还试着进攻坐落于澳门的一间外交机构和一间坐落于朝鲜的外交机构，由此能够分辨ScarCruft的关键目的应当是政冶和外交相关的情报机构。

进攻活動的受害人遍布

与别的进攻活動存有交差

探讨工作员剖析发觉1个乌克兰的受害人以往浏览过朝鲜。实际上该受害人浏览朝鲜使其成为黑客攻击的目的。ScarCruft于2018年9月21日感柒了该受害人，而该受害人于2018年3月26日就被另外APT机构用GreezeBackdoor感柒过。

GreezeBackdoor是 DarkHotel APT机构的道具。并且该受害人在2018年4月3日也被Konni恶意程序进攻过。Konni恶意程序在武器化的word表格中装扮成这条朝鲜的要闻，word表格的姓名为Why North Korea slams South Korea’s recent defense talks with U.S-J