新的Chinotto间谍软件以朝鲜脱北者、人权活动人士为目标
朝鲜脱北者、报道朝鲜相关新闻的记者以及韩国实体正被一个由民族国家发起的高级持续威胁(APT)作为新一轮目标明确的监视攻击的一部分。
俄罗斯网络安全公司卡巴斯基(Kaspersky)将此次渗透归咎于一个被追踪的朝鲜黑客组织斯卡鲁夫特,也被称为APT37,收割者小组,InkySquid,和弹跳胆红素。
该公司的全球研究与分析团队(GReAT)在今天发布的一份新报告中表示:“该行为人使用了三种具有类似功能的恶意软件:在PowerShell、Windows可执行文件和Android应用程序中实现的版本。”。“虽然针对不同的平台,但它们共享基于HTTP通信的类似命令和控制方案。因此,恶意软件操作员可以通过一组命令和控制脚本控制整个恶意软件系列。”
ScarCruft可能至少在2012年就开始活跃,它以韩国的公共和私营部门为目标,目的是掠夺被破坏系统中存储的敏感信息而闻名,此前曾被观察到使用一个名为RokRAT的基于Windows的后门。
APT37最初使用的主要感染媒介是鱼叉式网络钓鱼,参与者向被恶意文件武装的目标发送电子邮件。今年2021年8月,威胁者在互联网浏览器中使用了两次漏洞来揭开面具,通过对韩国在线报纸进行水孔攻击,用一种被称为“蓝灯”的定制植入物感染受害者。
卡巴斯基调查的案件在某些方面既相似又不同。这名演员使用被盗的Facebook账户凭证与受害者的同事和熟人取得了初步联系,但随后又收到了一封矛式网络钓鱼电子邮件,其中包含一个受密码保护的RAR档案,其中包含一个Word文档。这份假文件声称与“朝鲜的最新局势和我们的国家安全”有关
打开Microsoft Office文档会触发宏的执行,并对文档中嵌入的下一阶段有效负载进行解密。该有效负载是一个Visual Basic应用程序(VBA),包含一个外壳代码,该外壳代码反过来从远程服务器检索具有后门功能的最终阶段有效负载。
在一个被感染的受害者身上发现的额外的技术表明,在2021年3月22日发布了它的漏洞,运营商在8月到九月之间收集了两个月的截图。在8月底部署一个名为Chinotto的功能齐全的恶意软件来控制设备并将敏感信息过滤到指挥与控制(C2)服务器之前。
此外,奇诺托还配备了自己的Android变体,以实现监视用户的相同目标。恶意的APK文件通过一种欺骗攻击发送给收件人,提示用户在安装阶段向其授予广泛的权限,使该应用程序能够收集联系人列表、消息、通话记录、设备信息、录音和存储在华为Drive、腾讯微信(Tencent WeChat,又名微信)和KakaoTalk等应用程序中的数据。
卡巴斯基表示,它与韩国应急小组合作,拆除了斯卡克鲁夫特的攻击基础设施,并补充说,它追踪了PoorWeb中奇诺托的根源,该后门以前被认为是APT集团使用的。
“许多记者、叛逃者和人权活动人士都是复杂网络攻击的目标,”研究人员说。“与公司不同,这些目标通常没有足够的工具来防范和应对高技能的监视攻击。”