Шпионское ПО Chinotto

Новая полнофункциональная угроза вредоносного ПО, отслеживаемая как шпионское ПО Chinotto, использовалась в атаках на северокорейских перебежчиков, журналистов, освещающих новости, связанные с Северной Кореей, и других южнокорейских организаций. Вредоносная программа действует как угроза на поздней стадии, которая доставляется в уже взломанные системы целевых жертв. Основная функциональность Chinotto заключается в установлении контроля над взломанным устройством, сборе с него различной конфиденциальной информации и пересылке данных на сервер Command-and-Control (C2, C&C).

Кампания атаки приписывается спонсируемой государством группе Advanced Persistent Threat (APT) APT37 . Сообщество информационной безопасности также отслеживало эту конкретную группу киберпреступников, связанных с Северной Кореей, как ScarCruft, InkySquid, Reaper Group и Ricochet Chollima. Эта недавняя операция атаки является целенаправленной. Злоумышленник использовал собранные учетные записи Facebook, чтобы связаться с выбранными людьми, а затем отправить им целевое фишинговое письмо.

В испорченных письмах содержался документ-приманка, который якобы связан с национальной безопасностью Южной Кореи и ситуацией с их северным соседом. Как только пользователь пытается открыть вооруженный документ, запускается скрытый макрос и начинается цепочка атак. Исследователи Infosec обнаружили и проанализировали работу APT37. Согласно их выводам, он использовал несколько вредоносных программ, которые были развернуты на разных этапах атаки.

Следует отметить, что существует вариант угрозы Chinotto, предназначенный для заражения Android-устройств.конкретно. Цель злоумышленников остается прежней - получение конфиденциальной информации и создание программ слежки на мобильном устройстве. Версия для Android распространялась с помощью smishing-атак и побуждала целевых пользователей предоставить ей широкий спектр разрешений для устройств. В случае успеха угроза сможет получить доступ к списку контактов пользователя, сообщениям, журналам вызовов, делать аудиозаписи и многое другое. Шпионское ПО также будет собирать данные из нескольких целевых приложений, таких как драйвер Huawei, KakaoTalk и Tencent WeChat (Weixin).