Chinotto 間諜軟件
據觀察,一種新的全功能惡意軟件威脅被追踪為 Chinotto 間諜軟件,用於攻擊朝鮮叛逃者、報導朝鮮相關新聞的記者和其他韓國實體。該惡意軟件充當後期威脅,傳送到目標受害者已被攻破的系統。 Chinotto 的主要功能包括建立對受感染設備的控制,從中收集各種敏感信息,並將數據洩露到命令和控制(C2,C&C)服務器。
攻擊活動歸因於國家資助的高級持續威脅 (APT) 組織APT37 。信息安全社區還跟踪了這個與朝鮮有關的特定網絡犯罪組織,包括 ScarCruft、InkySquid、Reaper Group 和 Ricochet Chollima。最近的這次攻擊行動具有高度針對性。攻擊者使用收集的 Facebook 帳戶聯繫選定的個人,然後向他們發送魚叉式網絡釣魚電子郵件。
損壞的電子郵件包含一份誘餌文件,據稱與韓國的國家安全及其北方鄰國的情況有關。一旦用戶嘗試打開武器化文檔,就會觸發隱藏的宏並開始攻擊鏈。 Infosec 研究人員發現並分析了 APT37 操作。根據他們的調查結果,它使用了在攻擊的不同階段部署的多個惡意軟件威脅。
需要注意的是,Chinotto 威脅的一個變種旨在感染 Android 設備具體來說。攻擊者的目標保持不變——獲取敏感信息並在移動設備上建立間諜程序。 Android 版本通過smishing 攻擊進行傳播,並提示目標用戶授予其廣泛的設備權限。如果成功,威脅將能夠訪問用戶的聯繫人列表、消息、通話記錄、錄音等。間諜軟件還會從幾個目標應用程序收集數據,例如華為驅動程序、KakaoTalk 和騰訊微信(微信)。
