Torisma Spyware

Torisma Spyware è uno strumento spyware utilizzato come payload di seconda fase in una campagna di attacco attribuita a gruppi di hacker nordcoreani sponsorizzati dallo stato. Gli attacchi si sono concentrati su appaltatori aerospaziali e della difesa con sede in Russia e India in particolare, nonché su ISP (Internet Service Provider) provenienti da Australia, Israele e Russia.

Prima di distribuire Torisma, gli hacker hanno utilizzato un malware di prima fase per determinare se la vittima si trovava in un elenco di particolari entità di interesse. L'impianto raccoglie prima vari dati di sistema come indirizzo IP, data, utente, ecc. E li confronta con il suo elenco di target predeterminati. Questa tattica consente agli hacker di ridurre al minimo la presenza dei loro strumenti malware sulle vittime compromesse e di impostare completamente le loro operazioni solo sugli obiettivi previsti.

Quando viene avviato, Torisma Spyware può eseguire uno shellcode personalizzato per tutto il tempo in cui sta curiosando per eventuali nuove unità aggiunte attivamente al sistema o se vengono avviate connessioni desktop remote.

Siti Web legittimi violati nella campagna di distribuzione di Torisma

Per propagare Torisma con successo, gli hacker nordcoreani hanno utilizzato e-mail di spear phishing che trasportavano documenti armati che fingevano di essere offerte di lavoro. Gli aggressori hanno abusato di fonti legittime di reclutamento di posti di lavoro da popolari siti web di appaltatori della difesa degli Stati Uniti per far sembrare gli allegati corrotti il più legittimi possibile e per invogliare le vittime a eseguirli. Inoltre, alcune operazioni di comando e controllo (C2, C&C) sono state implementate tramite siti Web autentici che erano stati compromessi. I siti web interessati provenivano dagli Stati Uniti o dall'Italia e appartenevano a una società di stampa, una casa d'aste e una società di formazione informatica.