这款疑似来自朝鲜的新型恶意软件为何要收集蓝牙数据?

没错,朝鲜黑客又开始搞事情了!近期,一个由朝鲜政府资助的网络犯罪组织开发并部署了一种新型的恶意软件,而这种恶意软件可以直接从那些跟Windows操作系统连接了的蓝牙设备中收集用户数据。

根据实验室的分析报告,这种恶意软件通常需要先感染目标用户的Windows设备,它将作为感染第二阶段的Payload来实施进一步攻击活动。在受感染的系统中,恶意软件会使用Windows的蓝牙API来从目标设备中收集数据,例如蓝牙连接设备名称、设备类型、设备地址以及设备当前是否已连接、验证或记住此设备等等。

目前,研究人员还不清楚这群朝鲜黑客为好要去收集蓝牙设备的相关信息,但有人认为,攻击者很可能是在收集目标用户的基本信息,并构建用户档案,然后在之后针对目标用户的蓝牙设备发动攻击,或者是利用目标用户的设备构建僵尸网络。

恶意软件出自ScarSruft APT之手

根据安全实验室的分析结果,这款恶意软件的开发者是一个名叫ScarCruft的黑客组织,而且从2016年开始就已经在跟踪这个黑客组织的活动了。

现在,出现了越来越多的朝鲜黑客组织了,这些黑客组织的活跃度非常高,有些针对的是银行机构,而有些则针对的是加密货币交易平台,这些黑客组织的共同点就是为了谋取非法利益而活动。但除了这类网络犯罪组织之外,还有一些黑客组织的活动主要集中在网络间谍活动上。

ScarCruft就属于后者那一类,他们的活动主要是出于政治目的,并针对攻击目标进行各种情报收集工作。

实验室的安全研究人员表示:“根据我们对该活动受害者(越南和俄罗斯的投资及贸易公司)的分析结果,我们认为此次攻击活动跟朝鲜方面有着直接的关系。”

除此之外,ScarCruft还攻击了香港的一个外交机构,以及在朝鲜的另一个外交机构。

实验室的研究人员认为:“很明显,ScarCruft的主要意图是政治意图,收集到的情报信息也将用于政治和外交方面。”

除此之外,安全实验室的研究人员还注意到了此次攻击活动的一些特殊之处:此次活动中的某些目标用户此前还曾受到过其他朝鲜黑客组织的攻击,比如说DarkHotel黑客组织。

这也就意味着,这些朝鲜黑客组织之间很可能没有建立所谓的“合作”关系,其中有些黑客组织可能喜欢单独行动,并随机攻击或感染某些用户,只是这些黑客组织正好攻击到了相同用户而已。

目前,研究人员仍然无法得知ScarCruft通过部署恶意软件来收集目标用户蓝牙设备信息的真正意图。