Шпигунське програмне забезпечення Chinotto
Було помічено, що нова повнофункціональна загроза зловмисного програмного забезпечення, яка відстежується як шпигунське програмне забезпечення Chinotto, використовується в атаках на північнокорейських перебіжчиків, журналістів, які висвітлюють новини, пов’язані з Північною Кореєю, та інших південнокорейських організацій. Шкідливе програмне забезпечення діє як загроза на пізній стадії, яка надходить до вже зламаних систем цільових жертв. Основна функціональність Chinotto включає встановлення контролю над скомпрометованим пристроєм, збір з нього різної конфіденційної інформації та ексфільтрацію даних на сервер командування та керування (C2, C&C).
Кампанія атаки пов’язана з спонсорованою державою групою APT37 Advanced Persistent Threat (APT). Спільнота infosec також відстежила цю конкретну групу кіберзлочинів, пов’язану з Північною Кореєю, як ScarCruft, InkySquid, Reaper Group та Ricochet Chollima. Ця нещодавня операція атаки є дуже цілеспрямованою. Зловмисник використовував зібрані облікові записи Facebook, щоб зв’язатися з вибраними особами, а потім надіслати їм електронний лист із фішингою.
Пошкоджені електронні листи містили документ-приманку, який нібито пов’язаний з національною безпекою Південної Кореї та ситуацією з їх північним сусідом. Як тільки користувач намагається відкрити збройний документ, запускається прихований макрос і починається ланцюжок атаки. Дослідники Infosec виявили та проаналізували операцію APT37. Згідно з їхніми висновками, він використовував кілька шкідливих програм, які були розгорнуті на різних етапах атаки.
Слід зазначити, що існує варіант загрози Chinotto, призначений для зараження пристроїв Android конкретно. Мета зловмисників залишається незмінною – отримання конфіденційної інформації та встановлення шпигунських процедур на мобільному пристрої. Версія для Android поширювалася через атаки, що викликали напад, і спонукало цільових користувачів надати їй широкий спектр дозволів пристрою. У разі успіху загроза зможе отримати доступ до списку контактів користувача, повідомлень, журналів викликів, робити аудіозаписи тощо. Шпигунське програмне забезпечення також збирає дані з кількох цільових програм, таких як Huawei Driver, KakaoTalk і Tencent WeChat (Weixin).
