Threat Database Advanced Persistent Threat (APT) תוכנת ריגול של צ'ינוטו

תוכנת ריגול של צ'ינוטו

איום תוכנה זדונית חדש עם כל התכונות המלאות, שמעקב אחר תוכנת הריגול של צ'ינוטו, נצפה כמי שנפרס בהתקפות נגד עריקים צפון קוריאנים, עיתונאים שמסקרים חדשות הקשורות לצפון קוריאה וישויות דרום קוריאניות אחרות. התוכנה הזדונית פועלת כאיום בשלב מאוחר המועבר למערכות שכבר נפרצו של הקורבנות הממוקדים. הפונקציונליות העיקרית של Chinotto כוללת ביסוס שליטה על המכשיר שנפרץ, איסוף מידע רגיש שונים ממנו וחילוץ הנתונים לשרת Command-and-Control (C2, C&C).

מסע התקיפה מיוחס לקבוצת APT37 בחסות המדינה Advanced Persistent Threat (APT). קהילת infosec גם עקבה אחר קבוצת פשעי סייבר מסוימת הקשורה לצפון קוריאה כמו ScarCruft, InkySquid, Reaper Group ו-Ricochet Chollima. מבצע ההתקפה האחרון הזה ממוקד מאוד. שחקן האיום השתמש בחשבונות פייסבוק שנאספו כדי ליצור קשר עם האנשים הנבחרים ולאחר מכן לשלוח להם דוא"ל דיוג חנית.

המיילים המושחתים הכילו מסמך פיתוי שקשור כביכול לביטחון הלאומי של דרום קוריאה ולמצב עם שכנתם מצפון. ברגע שהמשתמש מנסה לפתוח את המסמך הנשקף, מאקרו נסתר מופעל ושרשרת ההתקפה מתחילה. חוקרי Infosec גילו וניתחו את פעולת APT37. לפי הממצאים שלהם, היא השתמשה באיומי תוכנות זדוניות מרובות שנפרסו בשלבים שונים של המתקפה.

יש לציין שיש גרסה של איום צ'ינוטו שנועד להדביק מכשירי אנדרואיד באופן ספציפי. מטרת התוקפים נותרה בעינה - השגת מידע רגיש והקמת שגרות ריגול במכשיר הסלולרי. גרסת האנדרואיד הופצה באמצעות התקפות סמסינג והניעה את המשתמשים הממוקדים להעניק לה מגוון רחב של הרשאות מכשיר. אם יצליח, האיום יוכל לגשת לרשימת אנשי הקשר של המשתמש, הודעות, יומני שיחות, ביצוע הקלטות אודיו ועוד. תוכנת הריגול גם תאסוף נתונים ממספר יישומים ממוקדים כמו ה-Huawei Driver, KakaoTalk ו-Tencent WeChat (Weixin).

מגמות

הכי נצפה

טוען...