Chinotto سبيواري
تهديد برمجيات خبيثة جديد كامل الميزات تم تتبعه حيث لوحظ نشر برنامج Chinotto Spyware في هجمات ضد المنشقين الكوريين الشماليين والصحفيين الذين يغطون الأخبار المتعلقة بكوريا الشمالية وكيانات كورية جنوبية أخرى. تعمل البرامج الضارة كتهديد في مرحلة متأخرة يتم تسليمه للأنظمة المخترقة بالفعل للضحايا المستهدفين. تتضمن الوظيفة الرئيسية لـ Chinotto السيطرة على الجهاز المخترق ، وجمع المعلومات الحساسة المختلفة منه ، واستخراج البيانات إلى خادم الأوامر والتحكم (C2 ، C&C).
تُعزى حملة الهجوم إلى مجموعة التهديد المستمر المتقدم APT37 التي ترعاها الدولة . قام مجتمع infosec أيضًا بتتبع مجموعة الجرائم الإلكترونية المتعلقة بكوريا الشمالية مثل ScarCruft و InkySquid و Reaper Group و Ricochet Chollima. عملية الهجوم الأخيرة هذه شديدة الاستهداف. استخدم ممثل التهديد حسابات Facebook التي تم جمعها للاتصال بالأفراد المختارين ثم إرسال بريد إلكتروني تصيد احتيالي لهم.
احتوت رسائل البريد الإلكتروني الفاسدة على وثيقة إغراء يُفترض أنها تتعلق بالأمن القومي لكوريا الجنوبية والوضع مع جارتها الشمالية. بمجرد أن يحاول المستخدم فتح المستند المسلح ، يتم تشغيل ماكرو مخفي وتبدأ سلسلة الهجوم. اكتشف باحثو Infosec وقاموا بتحليل عملية APT37. وفقًا للنتائج التي توصلوا إليها ، فقد استخدم تهديدات متعددة للبرامج الضارة التي تم نشرها في مراحل مختلفة من الهجوم.
وتجدر الإشارة إلى أن هناك نوعًا مختلفًا من تهديد Chinotto مصمم لإصابة أجهزة Androidخاصة. يظل هدف المهاجمين كما هو - الحصول على معلومات حساسة وإنشاء إجراءات تجسس على الجهاز المحمول. تم نشر إصدار Android عبر هجمات الرسائل النصية القصيرة ودفع المستخدمين المستهدفين لمنحه مجموعة واسعة من أذونات الجهاز. في حالة نجاحه ، سيتمكن التهديد من الوصول إلى قائمة جهات اتصال المستخدم والرسائل وسجلات المكالمات وإجراء التسجيلات الصوتية والمزيد. ستجمع برامج التجسس أيضًا البيانات من العديد من التطبيقات المستهدفة مثل Huawei Driver و KakaoTalk و Tencent WeChat (Weixin).
