Chinotto Spyware
Es wurde beobachtet, dass eine neue voll funktionsfähige Malware-Bedrohung, die als Chinotto-Spyware verfolgt wurde, bei Angriffen gegen nordkoreanische Überläufer, Journalisten, die über nordkoreanische Nachrichten berichten, und andere südkoreanische Einheiten eingesetzt wird. Die Malware fungiert als eine Bedrohung im Spätstadium, die an die bereits angegriffenen Systeme der Zielopfer gesendet wird. Die Hauptfunktionalität von Chinotto besteht darin, die Kontrolle über das kompromittierte Gerät zu erlangen, verschiedene sensible Informationen daraus zu sammeln und die Daten auf einen Command-and-Control-Server (C2, C&C) zu übertragen.
Die Angriffskampagne wird der staatlich geförderten Advanced Persistent Threat (APT)-Gruppe APT37 zugeschrieben. Die infosec-Community hat auch diese spezielle nordkoreanische Cyberkriminalitätsgruppe wie ScarCruft, InkySquid, Reaper Group und Ricochet Chollima verfolgt. Diese jüngste Angriffsoperation ist sehr gezielt. Der Bedrohungsakteur nutzte gesammelte Facebook-Konten, um die ausgewählten Personen zu kontaktieren und ihnen dann eine Spear-Phishing-E-Mail zu senden.
Die beschädigten E-Mails enthielten ein lockendes Dokument, das angeblich mit der nationalen Sicherheit Südkoreas und der Situation mit seinem nördlichen Nachbarn zu tun hat. Sobald der Benutzer versucht, das bewaffnete Dokument zu öffnen, wird ein verstecktes Makro ausgelöst und die Angriffskette beginnt. Forscher von Infosec entdeckten und analysierten den APT37-Betrieb. Ihren Ergebnissen zufolge wurden mehrere Malware-Bedrohungen verwendet, die in verschiedenen Phasen des Angriffs eingesetzt wurden.
Es sollte beachtet werden, dass es eine Variante der Chinotto-Bedrohung gibt, die entwickelt wurde, um speziell Android-Geräte zu infizieren. Das Ziel der Angreifer bleibt das gleiche - an sensible Informationen zu gelangen und Spionageroutinen auf dem mobilen Gerät einzurichten. Die Android-Version wurde über Smishing-Angriffe verbreitet und veranlasste die anvisierten Nutzer, ihr verschiedenste Geräteberechtigungen zu erteilen. Im Erfolgsfall kann die Bedrohung auf die Kontaktliste des Benutzers, Nachrichten, Anrufprotokolle, Audioaufzeichnungen und mehr zugreifen. Die Spyware würde auch Daten von mehreren gezielten Anwendungen wie dem Huawei Driver, KakaoTalk und dem Tencent WeChat (Weixin) sammeln.
