Chinotto Spyware

Nowe w pełni funkcjonalne zagrożenie złośliwym oprogramowaniem śledzone jako oprogramowanie szpiegujące Chinotto zostało zaobserwowane w atakach na północnokoreańskich uciekinierów, dziennikarzy relacjonujących wiadomości związane z Koreą Północną i inne południowokoreańskie podmioty. Złośliwe oprogramowanie działa jako zagrożenie na późnym etapie, które jest dostarczane do już złamanych systemów atakowanych ofiar. Główna funkcjonalność Chinotto obejmuje ustanowienie kontroli nad zhakowanym urządzeniem, zbieranie z niego różnych poufnych informacji i eksportowanie danych na serwer Command-and-Control (C2, C&C).

Kampanię ataków przypisuje się sponsorowanej przez państwo grupie APT (Advanced Persistent Threat – APT) 37. Społeczność infosec śledziła również tę konkretną grupę cyberprzestępczą związaną z Koreą Północną, taką jak ScarCruft, InkySquid, Reaper Group i Ricochet Chollima. Ta ostatnia operacja ataku jest wysoce ukierunkowana. Przestępca wykorzystał zebrane konta na Facebooku, aby skontaktować się z wybranymi osobami, a następnie wysłać im wiadomość e-mail typu spear-phishing.

Skorumpowane e-maile zawierały dokument z przynętą, który rzekomo ma związek z bezpieczeństwem narodowym Korei Południowej i sytuacją z ich północnym sąsiadem. Gdy użytkownik próbuje otworzyć uzbrojony dokument, uruchamiane jest ukryte makro i rozpoczyna się łańcuch ataków. Badacze Infosec odkryli i przeanalizowali operację APT37. Zgodnie z ich ustaleniami, wykorzystał wiele zagrożeń złośliwym oprogramowaniem, które zostały wdrożone na różnych etapach ataku.

Należy zauważyć, że istnieje wariant zagrożenia Chinotto przeznaczony do infekowania urządzeń z systemem Androidkonkretnie. Cel atakujących pozostaje ten sam - zdobycie poufnych informacji i ustanowienie procedur szpiegowskich na urządzeniu mobilnym. Wersja na Androida była rozpowszechniana poprzez ataki typu smishing i skłoniła docelowych użytkowników do przyznania jej szerokiego zakresu uprawnień dla urządzeń. Jeśli się powiedzie, zagrożenie będzie mogło uzyskać dostęp do listy kontaktów użytkownika, wiadomości, dzienników połączeń, nagrywać dźwięki i nie tylko. Oprogramowanie szpiegujące zbierało również dane z kilku ukierunkowanych aplikacji, takich jak sterownik Huawei, KakaoTalk i Tencent WeChat (Weixin).