Chinotto Spyware
Ang isang bagong ganap na tampok na banta ng malware na sinusubaybayan habang ang Chinotto Spyware ay naobserbahang ini-deploy sa mga pag-atake laban sa mga North Korean defectors, mga mamamahayag na sumasaklaw sa mga balitang nauugnay sa North Korea at iba pang mga entity ng South Korea. Ang malware ay gumaganap bilang isang banta sa huling yugto na inihahatid sa mga nalabag na sistema ng mga target na biktima. Ang pangunahing functionality ng Chinotto ay kinabibilangan ng pagtatatag ng kontrol sa nakompromisong device, pagkolekta ng iba't ibang sensitibong impormasyon mula dito, at pag-exfiltrate ng data sa isang Command-and-Control (C2, C&C) server.
Ang kampanya sa pag-atake ay iniuugnay sa pangkat na Advanced Persistent Threat (APT) na inisponsor ng estado na APT37 . Nasubaybayan din ng komunidad ng infosec ang partikular na pangkat ng cybercrime na nauugnay sa North Korea bilang ScarCruft, InkySquid, Reaper Group at Ricochet Chollima. Ang kamakailang operasyon ng pag-atake ay lubos na naka-target. Gumamit ang threat actor ng mga nakolektang Facebook account para makipag-ugnayan sa mga napiling indibidwal at pagkatapos ay magpadala sa kanila ng spear-phishing email.
Ang mga corrupt na email ay naglalaman ng isang pang-akit na dokumento na sinasabing nauugnay sa pambansang seguridad ng South Korea at ang sitwasyon sa kanilang hilagang kapitbahay. Sa sandaling sinubukan ng user na buksan ang dokumentong may sandata, ma-trigger ang isang nakatagong macro at magsisimula ang chain ng pag-atake. Natuklasan at sinuri ng mga mananaliksik ng Infosec ang operasyon ng APT37. Ayon sa kanilang mga natuklasan, gumamit ito ng maraming banta sa malware na na-deploy sa iba't ibang yugto ng pag-atake.
Dapat tandaan na mayroong isang variant ng banta ng Chinotto na idinisenyo upang mahawahan ang mga Android device partikular. Ang layunin ng mga umaatake ay nananatiling pareho - pagkuha ng sensitibong impormasyon at pagtatatag ng mga gawain sa pag-espiya sa mobile device. Ang bersyon ng Android ay ikinalat sa pamamagitan ng napakalaking pag-atake at nag-udyok sa mga naka-target na user na bigyan ito ng malawak na hanay ng mga pahintulot sa device. Kung matagumpay, maa-access ng banta ang listahan ng contact ng user, mga mensahe, mga log ng tawag, gumawa ng mga audio recording at higit pa. Mangongolekta din ang spyware ng data mula sa ilang naka-target na application tulad ng Huawei Driver, KakaoTalk at Tencent WeChat (Weixin).
