Chinotto Spyware

Megfigyelték, hogy a Chinotto Spyware néven nyomon követett új, teljes funkcionalitású rosszindulatú program fenyegetést alkalmaz az észak-koreai disszidensek, az Észak-Koreával kapcsolatos híreket tudósító újságírók és más dél-koreai entitások elleni támadásokban. A rosszindulatú program késői fenyegetésként működik, amelyet a megcélzott áldozatok már megsértett rendszereire szállítanak. A Chinotto fő funkciója a feltört eszköz feletti vezérlés létrehozása, különféle érzékeny információk gyűjtése róla, és az adatok kiszűrése egy Command-and-Control (C2, C&C) szerverre.

A támadási kampány az államilag támogatott Advanced Persistent Threat (APT) APT37 csoportnak tulajdonítható. Az infosec közösség nyomon követte ezt a bizonyos Észak-Koreával kapcsolatos kiberbűnözési csoportot is, mint a ScarCruft, az InkySquid, a Reaper Group és a Ricochet Chollima. Ez a legutóbbi támadás nagyon célzott. A fenyegetőző szereplő összegyűjtött Facebook-fiókokat használt, hogy kapcsolatba lépjen a kiválasztott személyekkel, majd küldjön nekik adathalász e-mailt.

A sérült e-mailek egy csalogató dokumentumot tartalmaztak, amely állítólag Dél-Korea nemzetbiztonságával és északi szomszédjuk helyzetével kapcsolatos. Amint a felhasználó megpróbálja megnyitni a fegyveres dokumentumot, egy rejtett makró aktiválódik, és elindul a támadási lánc. Az Infosec kutatói felfedezték és elemezték az APT37 működését. Megállapításaik szerint több rosszindulatú fenyegetést használt, amelyeket a támadás különböző szakaszaiban telepítettek.

Meg kell jegyezni, hogy a Chinotto fenyegetésnek létezik egy változata, amelyet az Android-eszközök megfertőzésére terveztek kimondottan. A támadók célja változatlan marad – érzékeny információk megszerzése és kémkedési rutinok létrehozása a mobileszközön. Az Android-verzió átütő támadásokkal terjedt el, és arra késztette a megcélzott felhasználókat, hogy széles körű eszközengedélyeket adjanak neki. Sikeres esetben a fenyegetés hozzáférhet a felhasználó névjegyzékéhez, üzeneteihez, hívásnaplóihoz, hangfelvételeket készíthet és még sok mást. A kémprogram számos célzott alkalmazásból is gyűjtene adatokat, mint például a Huawei Driver, a KakaoTalk és a Tencent WeChat (Weixin).