Torisma Spyware

Torisma Spyware is een spywaretool die wordt gebruikt als een tweede fase in een aanvalscampagne die wordt toegeschreven aan Noord-Koreaanse, door de staat gesponsorde hackergroepen. De aanvallen waren gericht op lucht- en ruimtevaart- en defensiecontractanten die specifiek in Rusland en India zijn gevestigd, evenals op ISP's (Internet Service Providers) uit Australië, Israël en Rusland.

Voordat Torisma werd ingezet, gebruikten de hackers eersteklas malware om te bepalen of het slachtoffer op een lijst van bepaalde entiteiten stond. Het implantaat verzamelt eerst verschillende systeemgegevens zoals IP-adres, datum, gebruiker, enz. En vergelijkt deze met de lijst met vooraf bepaalde doelen. Deze tactiek stelt de hackers in staat om de aanwezigheid van hun malwaretools op de gecompromitteerde slachtoffers te minimaliseren en hun operaties alleen volledig op de beoogde doelen in te stellen.

Wanneer gestart, kan de Torisma Spyware aangepaste shellcode uitvoeren terwijl het actief snuffelt naar nieuwe schijven die aan het systeem worden toegevoegd of dat externe desktopverbindingen worden geïnitieerd.

Legitieme websites gehackt in de Torisma-distributiecampagne

Om Torisma met succes te verspreiden, gebruikten de Noord-Koreaanse hackers spear-phishing-e-mails met bewapende documenten die zich voordeden als vacatures. De aanvallers maakten misbruik van legitieme wervingsbronnen van populaire Amerikaanse defensiewebsites om de beschadigde bijlagen zo legitiem mogelijk te laten lijken en om slachtoffers te verleiden ze uit te voeren. Bovendien werden bepaalde Command-and-Control-operaties (C2, C&C) uitgevoerd via authentieke websites die waren gecompromitteerd. De betrokken websites waren afkomstig uit de VS of Italië en waren eigendom van een drukkerij, een veilinghuis en een IT-trainingsbedrijf.