Torisma Spyware

O Torisma Spyware é uma ferramenta de spyware usada como carga útil de segundo estágio em uma campanha de ataque atribuída a grupos de hackers norte-coreanos patrocinados pelo estado. Os ataques se concentraram em empreiteiros aeroespaciais e de defesa baseados na Rússia e na Índia especificamente, bem como ISPs (Provedores de Serviços de Internet) da Austrália, Israel e Rússia.

Antes de implantar o Torisma, os hackers usaram um malware de primeiro estágio para determinar se a vítima estava em uma lista de entidades específicas de interesse. O implante primeiro reúne vários dados do sistema, como endereço IP, data, usuário, etc., e os compara com sua lista de alvos predeterminados. Essa tática permite que os hackers minimizem a presença de suas ferramentas de malware nas vítimas comprometidas e configurem totalmente suas operações apenas nos alvos pretendidos.

Quando iniciado, o Torisma Spyware pode executar um código de shell personalizado o tempo todo, enquanto está espionando quaisquer novas unidades sendo adicionadas ao sistema ativamente ou se quaisquer conexões de desktop remoto forem iniciadas.

Sites Legítimos Hackeados na Campanha de Distribuição  do Torisma

Para propagar o Torisma com sucesso, os hackers norte-coreanos empregaram e-mails de spear-phishing que carregavam documentos armados que fingiam ser ofertas de emprego. Os invasores abusaram de fontes legítimas de recrutamento de empregos de sites populares de fornecedores de defesa dos EUA para fazer com que os anexos corrompidos parecessem o mais legítimos possível e para induzir as vítimas a executá-los. Além disso, certas operações de Comando e Controle (C2, C&C) foram implantadas por meio de sites genuínos que foram comprometidos. Os sites afetados eram dos Estados Unidos ou da Itália e pertenciam a uma gráfica, uma casa de leilões e uma empresa de treinamento em TI.