Chinotto Spyware
Er is waargenomen dat een nieuwe, volledig uitgeruste malwarebedreiging wordt gebruikt bij aanvallen op Noord-Koreaanse overlopers, journalisten die Noord-Korea-gerelateerd nieuws brengen en andere Zuid-Koreaanse entiteiten. De malware fungeert als een dreiging in een laat stadium die wordt geleverd aan de reeds geschonden systemen van de beoogde slachtoffers. De belangrijkste functionaliteit van Chinotto omvat het verkrijgen van controle over het gecompromitteerde apparaat, het verzamelen van verschillende gevoelige informatie ervan en het exfiltreren van de gegevens naar een Command-and-Control (C2, C&C)-server.
De aanvalscampagne wordt toegeschreven aan de door de staat gesponsorde Advanced Persistent Threat (APT)-groep APT37 . De infosec-gemeenschap heeft ook deze specifieke Noord-Korea-gerelateerde cybercriminaliteitsgroep gevolgd als ScarCruft, InkySquid, Reaper Group en Ricochet Chollima. Deze recente aanvalsoperatie is zeer gericht. De dreigingsactor gebruikte verzamelde Facebook-accounts om contact op te nemen met de gekozen personen en stuurde ze vervolgens een spear-phishing-e-mail.
De corrupte e-mails bevatten een lokdocument dat verband zou houden met de nationale veiligheid van Zuid-Korea en de situatie met hun noorderbuur. Zodra de gebruiker het bewapende document probeert te openen, wordt een verborgen macro geactiveerd en begint de aanvalsketen. Infosec-onderzoekers ontdekten en analyseerden de APT37-operatie. Volgens hun bevindingen gebruikte het meerdere malwarebedreigingen die in verschillende stadia van de aanval werden ingezet.
Opgemerkt moet worden dat er een variant van de Chinotto-dreiging is die is ontworpen om Android-apparaten te infecterenspecifiek. Het doel van de aanvallers blijft hetzelfde: het verkrijgen van gevoelige informatie en het opzetten van spionageroutines op het mobiele apparaat. De Android-versie werd verspreid via smishing-aanvallen en bracht de beoogde gebruikers ertoe een breed scala aan apparaatrechten te verlenen. Als dit lukt, heeft de dreiging toegang tot de lijst met contactpersonen van de gebruiker, berichten, oproeplogboeken, audio-opnamen maken en meer. De spyware zou ook gegevens verzamelen van verschillende gerichte applicaties zoals de Huawei Driver, KakaoTalk en de Tencent WeChat (Weixin).
