Chinotto Spyware

Μια νέα απειλή κακόβουλου λογισμικού με πλήρεις δυνατότητες παρακολούθησης καθώς το Chinotto Spyware έχει παρατηρηθεί ότι αναπτύσσεται σε επιθέσεις εναντίον βορειοκορεατών αποστατών, δημοσιογράφων που καλύπτουν ειδήσεις που σχετίζονται με τη Βόρεια Κορέα και άλλων νοτιοκορεατικών οντοτήτων. Το κακόβουλο λογισμικό λειτουργεί ως απειλή σε τελευταίο στάδιο που παραδίδεται στα ήδη παραβιασμένα συστήματα των στοχευόμενων θυμάτων. Η κύρια λειτουργία του Chinotto περιλαμβάνει τον έλεγχο της παραβιασμένης συσκευής, τη συλλογή διαφόρων ευαίσθητων πληροφοριών από αυτήν και την εξαγωγή των δεδομένων σε έναν διακομιστή Command-and-Control (C2, C&C).

Η εκστρατεία επίθεσης αποδίδεται στην ομάδα Advanced Persistent Threat (APT) που χρηματοδοτείται από το κράτος APT37 . Η κοινότητα infosec έχει επίσης παρακολουθήσει τη συγκεκριμένη ομάδα εγκλήματος στον κυβερνοχώρο που σχετίζεται με τη Βόρεια Κορέα ως ScarCruft, InkySquid, Reaper Group και Ricochet Chollima. Αυτή η πρόσφατη επιχείρηση επίθεσης είναι εξαιρετικά στοχευμένη. Ο ηθοποιός των απειλών χρησιμοποίησε συγκεντρωμένους λογαριασμούς στο Facebook για να επικοινωνήσει με τα επιλεγμένα άτομα και στη συνέχεια να τους στείλει ένα email-phishing.

Τα κατεστραμμένα email περιείχαν ένα έγγραφο δέλεαρ που υποτίθεται ότι σχετίζεται με την εθνική ασφάλεια της Νότιας Κορέας και την κατάσταση με τον βόρειο γείτονά της. Μόλις ο χρήστης προσπαθήσει να ανοίξει το οπλισμένο έγγραφο, ενεργοποιείται μια κρυφή μακροεντολή και ξεκινά η αλυσίδα επίθεσης. Οι ερευνητές της Infosec ανακάλυψαν και ανέλυσαν τη λειτουργία APT37. Σύμφωνα με τα ευρήματά τους, χρησιμοποίησε πολλαπλές απειλές κακόβουλου λογισμικού που αναπτύχθηκαν σε διαφορετικά στάδια της επίθεσης.

Θα πρέπει να σημειωθεί ότι υπάρχει μια παραλλαγή της απειλής Chinotto που έχει σχεδιαστεί για να μολύνει συσκευές Android ΕΙΔΙΚΑ. Ο στόχος των επιτιθέμενων παραμένει ο ίδιος - η απόκτηση ευαίσθητων πληροφοριών και η καθιέρωση ρουτίνας κατασκοπείας στην κινητή συσκευή. Η έκδοση Android διαδόθηκε μέσω επιθέσεων smishing και ώθησε τους στοχευμένους χρήστες να της παραχωρήσουν ένα ευρύ φάσμα αδειών συσκευών. Εάν είναι επιτυχής, η απειλή θα μπορεί να έχει πρόσβαση στη λίστα επαφών του χρήστη, στα μηνύματα, στα αρχεία καταγραφής κλήσεων, να κάνει ηχογραφήσεις και πολλά άλλα. Το spyware θα συλλέγει επίσης δεδομένα από διάφορες στοχευμένες εφαρμογές όπως το Huawei Driver, το KakaoTalk και το Tencent WeChat (Weixin).

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...