Chinotto 间谍软件

据观察,一种新的全功能恶意软件威胁被追踪为 Chinotto 间谍软件,用于攻击朝鲜叛逃者、报道朝鲜相关新闻的记者和其他韩国实体。该恶意软件充当后期威胁,传送到目标受害者已被攻破的系统。 Chinotto 的主要功能包括建立对受感染设备的控制,从中收集各种敏感信息,并将数据泄露到命令和控制(C2,C&C)服务器。

攻击活动归因于国家资助的高级持续威胁 (APT) 组织APT37 。信息安全社区还跟踪了这个与朝鲜有关的特定网络犯罪组织,包括 ScarCruft、InkySquid、Reaper Group 和 Ricochet Chollima。最近的这次攻击行动具有高度针对性。攻击者使用收集的 Facebook 帐户联系选定的个人,然后向他们发送鱼叉式网络钓鱼电子邮件。

损坏的电子邮件包含一份诱饵文件,据称与韩国的国家安全及其北方邻国的情况有关。一旦用户尝试打开武器化文档,就会触发隐藏的宏并开始攻击链。 Infosec 研究人员发现并分析了 APT37 操作。根据他们的调查结果,它使用了在攻击的不同阶段部署的多个恶意软件威胁。

需要注意的是,Chinotto 威胁的一个变种旨在感染 Android 设备具体来说。攻击者的目标保持不变——获取敏感信息并在移动设备上建立间谍程序。 Android 版本通过smishing 攻击进行传播,并提示目标用户授予其广泛的设备权限。如果成功,威胁将能够访问用户的联系人列表、消息、通话记录、录音等。间谍软件还会从几个目标应用程序收集数据,例如华为驱动程序、KakaoTalk 和腾讯微信(微信)。

趋势

最受关注

正在加载...