치노토 스파이웨어

Chinotto Spyware로 추적되는 모든 기능을 갖춘 새로운 멀웨어 위협이 탈북자, 북한 관련 뉴스를 취재하는 언론인 및 기타 한국 단체에 대한 공격에 배포된 것으로 관찰되었습니다. 악성코드는 표적 피해자의 이미 침해된 시스템에 전달되는 후기 위협 역할을 합니다. Chinotto의 주요 기능에는 손상된 장치에 대한 제어 설정, 장치에서 다양한 민감한 정보 수집, 명령 및 제어(C2, C&C) 서버로 데이터 유출이 포함됩니다.

공격 캠페인은 국가 후원 APT(Advanced Persistent Threat) 그룹 APT37에 기인 합니다. infosec 커뮤니티는 또한 ScarCruft, InkySquid, Reaper Group 및 Ricochet Chollima와 같은 특정 북한 관련 사이버 범죄 그룹을 추적했습니다. 이 최근 공격 작전은 표적이 높은 공격입니다. 위협 행위자는 수집된 Facebook 계정을 사용하여 선택된 개인에게 연락한 다음 스피어 피싱 이메일을 보냈습니다.

손상된 이메일에는 남한의 안보와 북측 상황과 관련된 것으로 추정되는 루어 문서가 포함되어 있었다. 사용자가 무기화된 문서를 열려고 하면 숨겨진 매크로가 트리거되고 공격 체인이 시작됩니다. Infosec 연구원들은 APT37 작전을 발견하고 분석했습니다. 그들의 조사 결과에 따르면 공격의 여러 단계에 배포된 여러 맬웨어 위협을 사용했습니다.

Android 기기를 감염시키도록 설계된 Chinotto 위협의 변종이 있다는 점에 유의해야 합니다.구체적으로 특별히. 공격자의 목표는 동일하게 유지됩니다. 즉, 민감한 정보를 획득하고 모바일 장치에서 스파이 루틴을 설정하는 것입니다. Android 버전은 스미싱 공격을 통해 확산되었으며 대상 사용자에게 광범위한 장치 권한을 부여하도록 했습니다. 성공하면 위협 요소는 사용자의 연락처 목록, 메시지, 통화 기록에 액세스하고 오디오 녹음 등을 할 수 있습니다. 스파이웨어는 또한 Huawei Driver, KakaoTalk 및 Tencent WeChat(Weixin)과 같은 여러 대상 응용 프로그램에서 데이터를 수집합니다.