Vohunska programska oprema Chinotto

Nova grožnja z zlonamerno programsko opremo, ki jo spremljajo kot vohunska programska oprema Chinotto, je bila opažena pri napadih na severnokorejske prebežnike, novinarje, ki pokrivajo novice, povezane s Severno Korejo, in druge južnokorejske subjekte. Zlonamerna programska oprema deluje kot grožnja v zadnji fazi, ki se posreduje že vlomljenim sistemom ciljnih žrtev. Glavna funkcionalnost Chinotta vključuje vzpostavitev nadzora nad ogroženo napravo, zbiranje različnih občutljivih informacij iz nje in eksfiltracijo podatkov v strežnik za upravljanje in nadzor (C2, C&C).

Kampanja napada je pripisana skupini APT37 za napredno obstojno grožnjo (APT), ki jo sponzorira država. Skupnost infosec je zasledila tudi to posebno skupino za kibernetski kriminal, povezano s Severno Korejo, kot so ScarCruft, InkySquid, Reaper Group in Ricochet Chollima. Ta nedavna napadna operacija je zelo ciljno usmerjena. Igralec grožnje je uporabil zbrane Facebook račune, da je kontaktiral izbrane posameznike in jim nato poslal e-pošto z lažnim predstavljanjem.

Poškodovana elektronska sporočila so vsebovala vabljiv dokument, ki naj bi bil povezan z nacionalno varnostjo Južne Koreje in razmerami s severno sosedo. Ko uporabnik poskuša odpreti orožni dokument, se sproži skriti makro in začne se veriga napada. Raziskovalci Infosec so odkrili in analizirali operacijo APT37. Po njihovih ugotovitvah je uporabil več groženj zlonamerne programske opreme, ki so bile uporabljene v različnih fazah napada.

Treba je opozoriti, da obstaja različica grožnje Chinotto, ki je namenjena okužbi naprav Android posebej. Cilj napadalcev ostaja isti – pridobivanje občutljivih informacij in vzpostavitev vohunskih rutin na mobilni napravi. Različica za Android se je razširila s pomočjo napadov in je ciljne uporabnike spodbudila, da so ji dodelili širok nabor dovoljenj za naprave. Če bo uspešna, bo grožnja lahko dostopala do uporabnikovega seznama stikov, sporočil, dnevnikov klicev, naredila zvočne posnetke in drugo. Vohunska programska oprema bi zbirala tudi podatke iz več ciljnih aplikacij, kot so Huawei Driver, KakaoTalk in Tencent WeChat (Weixin).