Chinotto Spyware

Bylo pozorováno, že nová plně funkční malwarová hrozba sledovaná jako Chinotto Spyware byla nasazena při útocích proti severokorejským přeběhlíkům, novinářům, kteří podávají zprávy o Severní Koreji, a dalším jihokorejským subjektům. Malware působí jako hrozba v pozdní fázi, která je doručena do již narušených systémů cílových obětí. Hlavní funkce Chinotto zahrnuje vytvoření kontroly nad napadeným zařízením, shromažďování různých citlivých informací z něj a exfiltraci dat na server Command-and-Control (C2, C&C).

Útočná kampaň je připisována státem podporované skupině Advanced Persistent Threat (APT) APT37. Komunita infosec také sledovala tuto konkrétní skupinu zaměřenou na počítačovou kriminalitu související se Severní Koreou jako ScarCruft, InkySquid, Reaper Group a Ricochet Chollima. Tato nedávná útočná operace je vysoce cílená. Aktér hrozby použil shromážděné účty na Facebooku, aby kontaktoval vybrané osoby a poté jim poslal e-mail s podvodným phishingem.

Poškozené e-maily obsahovaly návnadu dokument, který údajně souvisí s národní bezpečností Jižní Koreje a situací s jejich severním sousedem. Jakmile se uživatel pokusí otevřít zbraňový dokument, spustí se skryté makro a začne řetězec útoků. Výzkumníci společnosti Infosec objevili a analyzovali operaci APT37. Podle jejich zjištění používala několik malwarových hrozeb, které byly nasazeny v různých fázích útoku.

Je třeba poznamenat, že existuje varianta hrozby Chinotto určená k infikování zařízení Androidkonkrétně. Cíl útočníků zůstává stejný – získání citlivých informací a nastolení špionážních rutin na mobilním zařízení. Verze pro Android se šířila pomocí smishingových útoků a přiměla cílové uživatele, aby jí udělili širokou škálu oprávnění zařízení. Pokud bude úspěšná, hrozba bude mít přístup k seznamu kontaktů uživatele, zprávám, protokolům hovorů, pořizovat zvukové nahrávky a další. Spyware by také sbíral data z několika cílených aplikací, jako je Huawei Driver, KakaoTalk a Tencent WeChat (Weixin).