北韓駭客發動攻擊，蒐集連上Windows電腦的藍牙裝置資訊

卡巴斯基（Kaspersky Lab）研究人員發現一個由北韓政府資助的駭客組織正在發動攻擊，疑似瞄準企業及外交單位以惡意程式蒐集連結Windows PC的藍牙裝置資訊，顯示駭客注意力現在也開始擴及行動裝置。

研究人員追查到的攻擊行動來自一個名為ScarCruft的駭客組織。這個組織使用韓語，可能和北韓政府有關。2016年這個組織曾經針對Adobe Flash的零時差漏洞發動名為「破曉行動」的攻擊，而在這次行動中，ScarCruft則採取多階段感染攻擊策略。

在第一階段，一隻病毒植入程式（dropper）經由CVE-2018-8120權限升級漏洞入侵Windows PC，藉此躲過Windows的使用者帳號控制（User Account Control, UAC）的檢查。之後它建立一個下載程式（downloader），這個厲害的程式運用圖像隱碼術（steganography）成功躲過網路層的偵測，與外部C&C伺服器建立連線下載了名為ROKRAT的後門程式，它具有竊密、擷圖、錄音和蒐集磁碟資訊和檔案的能力，再從感染的機器上傳雲端硬碟。

卡巴斯基研究人員還進一步發現一個罕見的惡意程式，即藍牙裝置採集器（harvester）。這個程式也是由ScarCruft的downloader下載到受害機器上，可利用Windows Bluetooth API尋找連接機器的藍牙裝置，並蒐集包括裝置名稱、裝置位置、Class類型、以及連網、驗證及記憶與否的狀態資訊，顯示駭客對受害者蒐集的資料範圍愈來愈廣。

研究人員發現ScarCruft這波攻擊對象包括越南和俄羅斯的投資公司和外交機構，也攻擊了香港及北韓境內的外交機構，可能是鎖定與北韓有關係的民間企業和外交單位。ScarCruft和另一個北韓APT組織DarkHotel多有雷同，其中一家俄羅斯公司更是自去年以來，接連遭到三次來自北韓的惡意程式攻擊。卡巴斯基研究人員相信，ScarCruft勢必會持續精進其攻擊能力。