Шпионски софтуер Chinotto

Забелязано е, че нова пълнофункционална заплаха за злонамерен софтуер, проследявана като шпионски софтуер Chinotto, е била разгърната при атаки срещу севернокорейски дезертьори, журналисти, отразяващи новини, свързани със Северна Корея, и други южнокорейски субекти. Зловредният софтуер действа като заплаха на късен етап, която се доставя на вече нарушените системи на насочените жертви. Основната функционалност на Chinotto включва установяване на контрол върху компрометираното устройство, събиране на различна чувствителна информация от него и ексфилтриране на данните към сървър за командване и управление (C2, C&C).

Кампанията за атака се приписва на спонсорираната от държавата група за напреднали постоянни заплахи (APT) APT37 . Общността на infosec също е проследила тази конкретна група за киберпрестъпления, свързана със Северна Корея, като ScarCruft, InkySquid, Reaper Group и Ricochet Chollima. Тази скорошна операция за атака е силно насочена. Заплахата използва събрани акаунти във Facebook, за да се свърже с избраните лица и след това да им изпрати имейл за фишинг.

Повредените имейли съдържаха примамлив документ, за който се предполага, че е свързан с националната сигурност на Южна Корея и ситуацията със северната им съседка. След като потребителят се опита да отвори въоръжения документ, се задейства скрит макрос и веригата за атака започва. Изследователите на Infosec откриха и анализираха операцията APT37. Според техните констатации, той използва множество заплахи за злонамерен софтуер, които са били разгърнати на различни етапи от атаката.

Трябва да се отбележи, че има вариант на заплахата Chinotto, предназначен да заразява устройства с Androidконкретно. Целта на нападателите остава същата – получаване на чувствителна информация и установяване на рутинни действия за шпиониране на мобилното устройство. Версията за Android беше разпространена чрез атаки и подтикна целевите потребители да й предоставят широк спектър от разрешения за устройство. Ако успее, заплахата ще може да получи достъп до списъка с контакти на потребителя, съобщенията, дневниците на обажданията, да прави аудиозаписи и др. Шпионският софтуер също ще събира данни от няколко целеви приложения като Huawei Driver, KakaoTalk и Tencent WeChat (Weixin).