Novo spyware da Chinotto tem como alvo desertores norte-coreanos e ativistas de direitos humanos
Desertores norte-coreanos, jornalistas que cobrem notícias relacionadas à Coreia do Norte e entidades na Coreia do Sul estão sendo atacados por uma ameaça persistente avançada patrocinada por um Estado-nação (APT) como parte de uma nova onda de ataques de vigilância altamente direcionados.
A empresa russa de segurança cibernética Kaspersky atribuiu as infiltrações a um grupo de hackers norte-coreano rastreado como ScarCruft , também conhecido como APT37 , Reaper Group, InkySquid e Ricochet Chollima.
"O ator utilizados três tipos de malware com funcionalidades semelhantes: versões implementadas em PowerShell, executáveis do Windows e aplicativos do Android," da empresa Pesquisa e Análise Global Team (grande) disse em um novo relatório publicado hoje. "Embora destinados a plataformas diferentes, eles compartilham um esquema de comando e controle semelhante com base na comunicação HTTP. Portanto, os operadores de malware podem controlar toda a família de malware por meio de um conjunto de scripts de comando e controle."
Provavelmente ativo desde pelo menos 2012, o ScarCruft é conhecido por ter como alvo os setores público e privado situados na Coreia do Sul com o objetivo de roubar informações confidenciais armazenadas nos sistemas comprometidos e já foi observado usando um backdoor baseado em Windows chamado RokRAT .
O principal vetor de infecção inicial usado pelo APT37 é o spear-phishing, no qual o ator envia um e-mail a um alvo que está armado com um documento malicioso. Em agosto de 2021, o ator da ameaça foi desmascarado usando dois exploits no navegador Internet Explorer para infectar as vítimas com um implante personalizado conhecido como BLUELIGHT ao preparar um ataque watering hole contra um jornal online sul-coreano.
O caso investigado pela Kaspersky é semelhante e diferente em alguns aspectos. O ator entrou em contato com os associados e conhecidos da vítima usando credenciais de contas roubadas do Facebook para estabelecer o contato inicial, apenas para segui-lo com um e-mail de spear-phishing contendo um arquivo RAR protegido por senha que inclui um documento do Word. Este documento dissimulado afirma ser sobre "a situação mais recente da Coreia do Norte e nossa segurança nacional".
Abrir o documento do Microsoft Office aciona a execução de uma macro e a descriptografia da carga útil do próximo estágio embutida no documento. A carga útil, um aplicativo Visual Basic (VBA), contém um código de shell que, por sua vez, recupera de um servidor remoto a carga útil do estágio final com recursos de backdoor.
Técnicas adicionais descobertas por GReAT em uma das vítimas infectadas mostram que postar sua violação em 22 de março de 2021, os operadores conseguiram coletar capturas de tela por um período de dois meses entre agosto e setembro, antes de implantar um malware completo chamado Chinotto no final Agosto para controlar o dispositivo e exfiltrar informações confidenciais para um servidor de comando e controle (C2).
Além do mais, o Chinotto vem com sua própria variante do Android para atingir o mesmo objetivo de espionar seus usuários. O arquivo APK malicioso, entregue aos destinatários por meio de um ataque de smishing, solicita aos usuários que concedam a ele uma ampla gama de permissões durante a fase de instalação, permitindo que o aplicativo acumule listas de contatos, mensagens, registros de chamadas, informações do dispositivo, gravações de áudio e dados armazenados em aplicativos como Huawei Drive, Tencent WeChat (também conhecido como Weixin) e KakaoTalk.
A Kaspersky disse que trabalhou com as equipes de resposta de emergência da Coréia do Sul para derrubar a infraestrutura de ataque do ScarCruft, acrescentando que rastreou as raízes de Chinotto em PoorWeb , uma porta dos fundos anteriormente atribuída ao uso do grupo APT.
“Muitos jornalistas, desertores e ativistas de direitos humanos são alvos de ataques cibernéticos sofisticados”, disseram os pesquisadores. "Ao contrário das corporações, esses alvos normalmente não têm ferramentas suficientes para proteger e responder a ataques de vigilância altamente qualificados."
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário