Torisma Spyware

Die Torisma-Spyware ist ein Spyware-Tool, das als Nutzlast der zweiten Stufe in einer Angriffskampagne verwendet wird, die nordkoreanischen, staatlich geförderten Hacker-Gruppen zugeschrieben wird. Die Angriffe konzentrierten sich auf Luft- und Raumfahrt- und Verteidigungsunternehmen mit Sitz in Russland und Indien sowie auf ISPs (Internet Service Providers) aus Australien, Israel und Russland.

Vor der Bereitstellung von Torisma verwendeten die Hacker eine Malware der ersten Stufe, um festzustellen, ob das Opfer zu einer Liste bestimmter interessierender Einheiten gehört. Das Implantat sammelt zunächst verschiedene Systemdaten wie IP-Adresse, Datum, Benutzer usw. und vergleicht sie mit seiner Liste vorgegebener Ziele. Diese Taktik ermöglicht es den Hackern, das Vorhandensein ihrer Malware-Tools bei den gefährdeten Opfern zu minimieren und ihre Operationen nur für die beabsichtigten Ziele vollständig einzurichten.

Bei der Initiierung kann die Torisma Spyware benutzerdefinierten Shellcode ausführen, während sie nach neuen Laufwerken sucht, die aktiv zum System hinzugefügt werden, oder wenn Remotedesktopverbindungen initiiert werden.

Legitime Websites in Torisma-Vertriebskampagne gehackt

Um Torisma erfolgreich zu verbreiten, verwendeten die nordkoreanischen Hacker Spear-Phishing-E-Mails, in denen Dokumente mit Waffen enthalten waren, die sich als Stellenangebote ausgaben. Die Angreifer missbrauchten legitime Quellen für die Anwerbung von Arbeitsplätzen auf beliebten Websites von US-Verteidigungsunternehmen, um die beschädigten Anhänge so legitim wie möglich erscheinen zu lassen und die Opfer zur Ausführung zu verleiten. Darüber hinaus wurden bestimmte Command-and-Control-Vorgänge (C2, C&C) über echte Websites bereitgestellt, die kompromittiert wurden. Die betroffenen Websites stammten entweder aus den USA oder aus Italien und gehörten einer Druckerei, einem Auktionshaus und einer IT-Schulungsfirma.