المجموعة التخريبية ذات المهارة العالية ScarCruft، الناطقة باللغة الكورية، تطور أدوات وتقنيات خاصة بها وتختبرها وتوسّع المجموعة نطاق المعلومات التي تُجمع من الضحايا وتزيد من حجم تلك المعلومات. ومن بين الأشياء الأخرى التي تقوم بها كذلك إنشاء شيفرة برمجية قادرة على تحديد الأجهزة المتصلة عبر تقنية البلوتوث.
عادةً ما تستهدف المجموعة التخريبية كيانات حكومية وشركات لها علاقات بشبه الجزيرة الكورية بحثًا عن معلومات ذات أهمية سياسية. ولديها اهتمامًا متزايدًا في الحصول على البيانات من الأجهزة المحمولة مُظهرةً قدرتها على تكييف الأدوات والخدمات الشرعية واستخدامها لصالح عمليات التجسس الإلكتروني التي تُجريها.
إن هجمات المجموعة مثل غيرها من المجموعات التخريبية المعتمدة على التهديدات المتقدمة المستمرة تبدأ إما عن طريق التصيّد الموجّه أو الاختراق الإستراتيجي لمواقع الويب والذي يُعرف أيضًا باسم هجمات Watering-Hole باستغلال ثغرات أو باللجوء إلى حيل أخرى لإصابة زوار محددين لبعض مواقع الويب التي يتمّ اختراقها ونصب الكمين فيها.
وعادة ما يمر الهجوم عبر مراحل أولها تجاوز التحكّم في حساب مستخدم النظام Windows للتمكّن من إنزال الحمولة الخبيثة عبر امتيازات أعلى وباستخدام شيفرة برمجية عادةً ما توظفها الشركات توظيفًا شرعيًا ثم تستخدم البرمجية الخبيثة أسلوب مواراة المعلومات وإخفائها من أجل تجنب الانكشاف عند المستوى الشبكي مُخفية الشيفرة الخبيثة داخل ملف صورة. ومن تم الهجوم بتثبيت منفذ خلفي قائم على الخدمة السحابية يُعرف باسم ROKRAT. ويجمع هذا المنفذ الخلفي مجموعة كبيرة من المعلومات من الأنظمة والأجهزة التي وقعت ضحية للهجوم لرفعها بعد ذلك على خدمات سحابية ك Box و Dropbox و pCloud و Yandex.Disk.
يشار إلى أنه يوجد تداخل بين ScarCruft وDarkHotel من حيث الاهتمامات المتشابهة بالأهداف لدى المجموعتين بالرغم من الاختلاف الكبير في أدوات عملهما وأساليبهما. مع أن ScarCruft تتسم بالحذر ولا ترغب في الظهور وأثبتت أنها مجموعة تتمتع بمهارات عالية ونشاط كبير مع قدر واسع من الحيلة في الطريقة التي تطوّر بها الأدوات وتنشرها.
المصدر : Kaspersky