Chinotto Spyware
S-a observat că o nouă amenințare malware cu caracteristici complete, urmărită ca Chinotto Spyware, a fost desfășurată în atacuri împotriva dezertorilor nord-coreeni, a jurnaliştilor care acoperă știri legate de Coreea de Nord și a altor entități sud-coreene. Malware-ul acționează ca o amenințare de ultimă oră care este transmisă sistemelor deja încălcate ale victimelor vizate. Funcționalitatea principală a Chinotto implică stabilirea controlului asupra dispozitivului compromis, colectarea diferitelor informații sensibile de la acesta și exfiltrarea datelor pe un server Command-and-Control (C2, C&C).
Campania de atac este atribuită grupului APT (Advanced Persistent Threat) (APT) sponsorizat de stat37 . De asemenea, comunitatea infosec a urmărit acest grup special de criminalitate cibernetică legată de Coreea de Nord ca ScarCruft, InkySquid, Reaper Group și Ricochet Chollima. Această operațiune de atac recentă este foarte țintită. Actorul amenințării a folosit conturile Facebook colectate pentru a contacta persoanele alese și apoi le-a trimis un e-mail de spear-phishing.
E-mailurile corupte conțineau un document care se presupune că are legătură cu securitatea națională a Coreei de Sud și cu situația cu vecinul lor din nord. Odată ce utilizatorul încearcă să deschidă documentul cu arme, se declanșează o macrocomandă ascunsă și începe lanțul de atac. Cercetătorii Infosec au descoperit și analizat funcționarea APT37. Conform constatărilor lor, a folosit mai multe amenințări malware care au fost implementate în diferite etape ale atacului.
Trebuie remarcat faptul că există o variantă a amenințării Chinotto concepută pentru a infecta dispozitivele Android specific. Scopul atacatorilor rămâne același - obținerea de informații sensibile și stabilirea rutinelor de spionaj pe dispozitivul mobil. Versiunea Android a fost răspândită prin atacuri smishing și a determinat utilizatorii vizați să îi acorde o gamă largă de permisiuni pentru dispozitiv. Dacă reușește, amenințarea va putea să acceseze lista de contacte a utilizatorului, mesajele, jurnalele de apeluri, să facă înregistrări audio și multe altele. Spyware-ul ar colecta și date de la mai multe aplicații vizate, cum ar fi Huawei Driver, KakaoTalk și Tencent WeChat (Weixin).
