北朝鲜骇客发动攻击，搜集连上Windows电脑的蓝牙装置资讯

卡巴斯基（Kaspersky Lab）研究人员发现一个由北朝鲜-资助的骇客组织正在发动攻击，疑似瞄准企业及外交单位以恶意程式搜集连结Windows PC的蓝牙装置资讯，显示骇客注意力现在也开始扩及行动装置。

研究人员追查到的攻击行动来自一个名为ScarCruft的骇客组织。这个组织使用韩语，可能和北朝鲜-有关。2016年这个组织曾经针对Adobe Flash的零时差漏洞发动名为“破晓行动”的攻击，而在这次行动中，ScarCruft则采取多阶段感染攻击策略。

在第一阶段，一只病毒植入程式（dropper）经由CVE-2018-8120权限升级漏洞入侵Windows PC，借此躲过Windows的使用者账号控制（User Account Control, UAC）的检查。之后它建立一个下载程式（downloader），这个厉害的程式运用图像隐码术（steganography）成功躲过网络层的侦测，与外部C&C服务器建立连线下载了名为ROKRAT的后门程式，它具有窃密、撷图、录音和搜集磁盘资讯和档案的能力，再从感染的机器上传云端硬盘。

卡巴斯基研究人员还进一步发现一个罕见的恶意程式，即蓝牙装置采集器（harvester）。这个程式也是由ScarCruft的downloader下载到受害机器上，可利用Windows Bluetooth API寻找连接机器的蓝牙装置，并搜集包括装置名称、装置位置、Class类型、以及连网、验证及记忆与否的状态资讯，显示骇客对受害者搜集的资料范围愈来愈广。

研究人员发现ScarCruft这波攻击对象包括越南和俄罗斯的投资公司和外交机构，也攻击了香港及北朝鲜境内的外交机构，可能是锁定与北朝鲜有关系的民间企业和外交单位。ScarCruft和另一个北朝鲜APT组织DarkHotel多有雷同，其中一家俄罗斯公司更是自去年以来，接连遭到三次来自北朝鲜的恶意程式攻击。卡巴斯基研究人员相信，ScarCruft势必会持续精进其攻击能力。