Chinotto Spyware
En ny fuldt udstyret malwaretrussel sporet som Chinotto-spywaren er blevet observeret at blive implementeret i angreb mod nordkoreanske afhoppere, journalister, der dækker nordkoreanske nyheder og andre sydkoreanske enheder. Malwaren fungerer som en trussel på sent stadium, der leveres til de målrettede ofres allerede overtrådte systemer. Hovedfunktionaliteten i Chinotto involverer at etablere kontrol over den kompromitterede enhed, indsamle forskellige følsomme oplysninger fra den og eksfiltrere dataene til en Command-and-Control-server (C2, C&C).
Angrebskampagnen tilskrives den statssponsorerede Advanced Persistent Threat (APT) gruppe APT37. Infosec-fællesskabet har også sporet denne særlige Nordkorea-relaterede cyberkriminalitetsgruppe som ScarCruft, InkySquid, Reaper Group og Ricochet Chollima. Denne seneste angrebsoperation er meget målrettet. Trusselsaktøren brugte indsamlede Facebook-konti til at kontakte de udvalgte personer og derefter sende dem en spear-phishing-e-mail.
De korrupte e-mails indeholdt et lokkedokument, der angiveligt er relateret til Sydkoreas nationale sikkerhed og situationen med deres nordlige nabo. Når brugeren forsøger at åbne det bevæbnede dokument, udløses en skjult makro, og angrebskæden begynder. Infosec-forskere opdagede og analyserede APT37-operationen. Ifølge deres resultater brugte den flere malware-trusler, der blev implementeret på forskellige stadier af angrebet.
Det skal bemærkes, at der er en variant af Chinotto-truslen designet til at inficere Android-enhederspecifikt. Målet for angriberne forbliver det samme - at indhente følsomme oplysninger og etablere spionagerutiner på den mobile enhed. Android-versionen blev spredt via smishing-angreb og fik de målrettede brugere til at give den en bred vifte af enhedstilladelser. Hvis det lykkes, vil truslen være i stand til at få adgang til brugerens kontaktliste, beskeder, opkaldslogger, lave lydoptagelser og mere. Spywaren ville også indsamle data fra flere målrettede applikationer såsom Huawei Driver, KakaoTalk og Tencent WeChat (Weixin).
