Torisma Spyware

Torisma Spyware er et spyware-værktøj, der bruges som en anden-trins nyttelast i en angrebskampagne, der tilskrives nordkoreanske, statsstøttede hackergrupper. Angrebene var fokuseret på luftfarts- og forsvarsentreprenører med base i Rusland og Indien specifikt samt internetudbydere (internetudbydere) fra Australien, Israel og Rusland.

Før hackerne anvendte Torisma, brugte de et første trin malware til at afgøre, om offeret var blandt en liste over bestemte enheder af interesse. Implantatet samler først forskellige systemdata såsom IP-adresse, dato, bruger osv. Og sammenligner det med sin liste over forudbestemte mål. Denne taktik giver hackerne mulighed for at minimere tilstedeværelsen af deres malware-værktøjer på de kompromitterede ofre og fuldt ud oprette deres operationer på de tilsigtede mål.

Når den initieres, kan Torisma Spyware udføre brugerdefineret shellcode, mens den snyder for eventuelle nye drev, der tilføjes til systemet aktivt, eller hvis der oprettes en ekstern desktopforbindelse.

Legitime websteder hacket i Torisma-distributionskampagne

For at udbrede Torisma med succes anvendte de nordkoreanske hackere spydfishing-e-mails, der bar våbendokumenter, der foregav at være jobtilbud. Angriberne misbrugte legitime jobrekrutteringskilder fra populære amerikanske forsvarsentreprenørwebsteder for at få de ødelagte vedhæftede filer til at virke så legitime som muligt og for at lokke ofre til at henrette dem. Desuden blev visse Command-and-Control (C2, C&C) operationer implementeret via ægte websteder, der var kompromitteret. De berørte websteder var enten fra USA eller Italien og tilhørte et trykkeri, et auktionshus og et it-træningsfirma.