ScarCruft不断进化，引入蓝牙收割机

摘要

卡巴斯基安全研究人员最早是在2016年发现ScarCruft组织的攻击活动的，随后一直追踪。ScarCruft的交流语言为韩语，应该是有国家背景的黑客组织，主要攻击朝鲜半岛的组织和企业。

近日，研究人员发现了一些关于该组织的攻击活动。分析发现攻击者非常活跃，不断尝试精心制作其攻击攻击。研究人员分析发现了ScarCruft的攻击感染流程。他使用多阶段二进制文件感染来有效地更新每个模块并绕过检测。

研究人员还分析了攻击活动的受害者分布，发现其与DarkHotel APT组织的攻击活动有所重合。

多阶段二进制感染

研究人员发现ScarCruft组织使用常用的恶意软件传播技术，比如鱼叉式钓鱼攻击和Strategic Web Compromises (SWC)。在Operation Daybreak攻击活动中，攻击者使用了0 day漏洞利用来执行复杂攻击。对恶意软件开发者来说，使用公开的漏洞利用代码是更加快捷和高效的。

为了成功为final payload应用植入，ScarCruft使用了多阶段二进制感染方法。初始释放器最著名的函数就是绕过Windows UAC来以更高权限执行下一阶段payload。恶意软件使用公开的权限提取漏洞代码CVE-2018-8120 或UACME来就行权限提升。之后，installer恶意软件会从资源处创建一个下载器和配置文件并执行。下载器恶意软件使用配置文件并连接到C2服务器来提取下一阶段payload。为了绕过网络级的检测，下载器使用了隐写术。下载的payload是一个图像文件，但是其中含有待解密的恶意payload。

多阶段二进制文件感染

前面创建的final payload其实是一个后门——ROKRAT。基于云服务的后门含有许多特征，其中就包括窃取信息。执行后，恶意软件会创建10个随机的目录路径，并使用这些路径做特殊目的。恶意软件会同时创建11个线程，其中6个负责从受感染的主机上窃取信息，5个负责转发收集的数据到4个云服务，分别是Box, Dropbox, Pcloud和Yandex。在上传窃取的数据到云服务时，恶意软件会使用预定义的目录路径，比如/english, /video, /scriptout。

基于云的后门

相同的恶意软件含有后门的所有功能，命令是从云服务提供商的/script路径下载的，执行的结果会上传到/scriptout路径下。恶意软件支持以下命令来控制受感染的主机：

· 获取文件、进程列表

· 下载额外的payload并执行

· 执行Windows命令

· 更新包含云服务token信息的配置数据

· 保存截图和录音

ScarCruft组织在不断扩展其目标以从受感染的主机上窃取更多的信息，并持续创建工具进行其他的数据窃取。分析过程中，研究人员确认攻击者还对移动设备感兴趣。

研究人员还发现了攻击者创建的一个很少见的恶意软件——蓝牙设备收割机。该恶意软件负责窃取蓝夜设备的信息，是从一个下载器中提取处的，可以直接从受感染的主机上收集信息。恶意软件使用Windows蓝牙API来找出连接的是蓝牙设备的信息并保存以下信息。

· Instance Name: 设备名

· Address: 设备地址

· Class: 设备种类

· Connected: 设备是否连接(true/ false)

· Authenticated: 设备是否认证(true or false)

· Remembered: 是否记住设备(true or false)

攻击者在不断地增加从受害者处收集的信息的范围。

蓝牙信息收割机的路径

受害者分布

研究人员发现该攻击活动的受害者主要是越南和俄罗斯的投资和贸易企业。研究人员认为这可能与朝鲜有关，这就可以解释为什么ScarCruft要紧密地监控他们。ScarCruft还尝试攻击位于香港的一家外交机构和一家位于朝鲜的外交机构，据此可以判断ScarCruft的主要目标应该是政治和外交有关的情报机构。

攻击活动的受害者分布

与其他攻击活动存在交叉

研究人员分析发现一个俄罗斯的受害者过去访问过朝鲜。事实上该受害者访问朝鲜使其成为被攻击的目标。ScarCruft于2018年9月21日感染了该受害者，而该受害者于2018年3月26日就被另一个APT组织用GreezeBackdoor感染过。

GreezeBackdoor是 DarkHotel APT组织的工具。而且该受害者在2018年4月3日也被Konni恶意软件攻击过。Konni恶意软件在武器化的文档中伪装成一条朝鲜的新闻，文档的名字为Why North Korea slams South Korea’s recent defense talks with U.S-Japan.zip。

研究人员之前也发现过ScarCruft和DarkHotel这两个黑客组织有重叠。这两个黑客组织都是韩语攻击者，而且受害者分布有交叉。但这两个黑客组织有不同的TTP，因此研究人员认为其中一个攻击组织应该是隐藏在另一个攻击组织背后的。

总结

ScarCruft是一个技术精湛且非常活跃的黑客组织，主要关注朝鲜事务，攻击的也大多是与朝鲜有关的商业组织和外交机构。基于ScarCruft的最近活动，研究人员认为该组织还在不断地发展壮大。