蓝牙收集器标志着黑客集团对移动设备日益增长的兴趣

自2016年以来，一家正在运营的韩语黑客组织正在扩展其黑客工具库，其中包括蓝牙设备收集器，此举标志着该集团对移动设备日益增长的兴趣。

ScarCruft是一个讲韩语的高级持续性威胁组织，卡巴斯基实验室的研究人员至少自2016年以来一直关注这一组织。当时，该小组被发现使用至少四个漏洞，包括今日的Adobe Flash，以感染位于俄罗斯，尼泊尔，韩国，中国，印度，科威特和罗马尼亚的目标。

在周一发布的一篇文章中，卡巴斯基实验室的研究人员表示，他们发现了一款​​由ScarCruft创建的定制蓝牙设备收割机。研究人员写道：

此恶意软件负责窃取蓝牙设备信息。它由下载程序提取并直接从受感染的主机收集信息。此恶意软件使用Windows蓝牙API查找有关已连接蓝牙设备的信息，并保存以下信息。

实例名称：设备名称

地址：设备地址

类：设备的类

已连接：设备是否已连接(真或假)

已验证：设备是否经过身份验证(true或false)

记住：设备是否是记忆设备(真或假)

袭击者似乎正在增加从受害者那里收集的信息的范围。

与DarkHotel重叠

卡巴斯基实验室的研究人员表示，一些受到ScarCruft感染的俄罗斯和越南投资和贸易公司可能与朝鲜有联系。研究人员说，ScarCruft还袭击了香港的一家外交机构和朝鲜的另一个外交机构。研究人员写道：“看来ScarCruft主要针对政治和外交目的的情报。”

来自俄罗斯的一个目标在留在朝鲜期间引发了恶意软件检测警报。警报表明它有关于朝鲜事务的宝贵信息。ScarCruft在2018年9月感染了目标。然而，在此之前，目标已经被一个名为DarkHotel的不同APT组感染，并且在此之前，被称为Konni的另一种恶意软件。

“这不是我们第一次看到ScarCruft和DarkHotel演员的重叠，”卡巴斯基实验室的研究人员写道。“他们都是朝鲜语的威胁演员，有时他们的受害者重叠。但是这两个群体似乎都有不同的TTP(战术，技术和程序)，这让我们相信一个群体经常潜伏在另一个群体的阴影中。“

ScarCruft通过鱼叉式钓鱼电子邮件感染其目标，并感染他们访问的网站并利用漏洞利用它们。有时候，这些漏洞就是zerodays。在其他情况下，该组使用了公共漏洞利用代码。该组还使用多阶段感染过程，最终从命令和控制服务器下载文件。为了阻止网络防御，下载程序使用隐写技术来隐藏图像文件中的加密有效负载。最终的有效负载安装了一个名为ROKRAT的后门。

卡巴斯基发现蓝牙收集器证明ScarCruft正在继续发展其功能。

“ScarCruft已经证明自己是一个技术高超，活跃的团体，”周一的帖子得出结论。“它对朝鲜事务非常感兴趣，攻击可能与朝鲜有任何联系的商界人士，以及全球的外交机构。根据ScarCruft最近的活动，我们坚信这一群体可能会继续发展。“

标签： 蓝牙收集器