Chinotto nuhkvara

Täheldatud on uut täisfunktsionaalsusega pahavara ohtu, mida jälgitakse kui Chinotto nuhkvara, rünnakutes Põhja-Korea ülejooksikute, Põhja-Koreaga seotud uudiseid kajastavate ajakirjanike ja teiste Lõuna-Korea üksuste vastu. Pahavara toimib hilises staadiumis ohuna, mis edastatakse sihitud ohvrite juba rikutud süsteemidesse. Chinotto põhifunktsioonid hõlmavad kontrolli loomist ohustatud seadme üle, sellelt mitmesuguse tundliku teabe kogumist ja andmete väljafiltreerimist Command-and-Control (C2, C&C) serverisse.

Rünnakukampaania omistatakse riiklikult toetatavale Advanced Persistent Threat (APT) rühmale APT37. Infoseci kogukond on jälginud ka seda konkreetset Põhja-Koreaga seotud küberkuritegude rühma nagu ScarCruft, InkySquid, Reaper Group ja Ricochet Chollima. See hiljutine ründeoperatsioon on väga sihipärane. Ohunäitleja kasutas kogutud Facebooki kontosid valitud isikutega ühenduse võtmiseks ja neile seejärel andmepüügimeili saatmiseks.

Rikutud meilid sisaldasid peibutusdokumenti, mis väidetavalt on seotud Lõuna-Korea riikliku julgeoleku ja olukorraga nende põhjanaabri juures. Kui kasutaja proovib relvastatud dokumenti avada, käivitub peidetud makro ja algab rünnakuahel. Infoseci teadlased avastasid ja analüüsisid APT37 operatsiooni. Nende leidude kohaselt kasutas see mitut pahavara ohtu, mida kasutati rünnaku eri etappides.

Tuleb märkida, et on olemas Chinotto ohu variant, mis on loodud Android-seadmete nakatamiseks konkreetselt. Ründajate eesmärk jääb samaks – tundliku teabe hankimine ja nuhkimisrutiinide loomine mobiilseadmes. Androidi versioon levis rünnakute kaudu ja ajendas sihitud kasutajaid andma sellele laias valikus seadme õigusi. Kui see õnnestub, pääseb oht ligi kasutaja kontaktide loendile, sõnumitele, kõnelogidele, teeb helisalvestisi ja palju muud. Nuhkvara koguks andmeid ka mitmetest sihitud rakendustest, nagu Huawei Driver, KakaoTalk ja Tencent WeChat (Weixin).