Neue Chinotto-Spyware zielt aufwärts nordkoreanische Überläufer und Menschenrechtsaktivisten ab

[ad_1]
Nordkoreanische Überläufer, Journalisten, die zusätzlich nordkoreanische News berichten, und Einheiten in Südkorea werden von einer vom Nationalstaat geförderten Advanced Persistent Threat (APT) im Rahmen einer neuen Woge von hochgradig gezielten Überwachungsangriffen aufs Kornbrand genommen.
Dies russische Cybersicherheitsunternehmen Kaspersky führte die Infiltrationen einer nordkoreanischen Hackergruppe zu, die qua verfolgt wurde ScarCruft, untergeordnet prominent qua APT37, Reaper Group, InkySquid und Ricochet Chollima.
„Dieser Schauspieler nutzte drei Arten von Schadsoftware mit ähnlichen Funktionen: Versionen, die in PowerShell implementiert sind, ausführbare Windows-Dateien und Androide-Anwendungen“, sagte dasjenige Multinational Research and Analysis Team (GReAT) des Unternehmens in einem heute veröffentlichten neuen Nachprüfung. “Obwohl sie zum Besten von unterschiedliche Plattformen gedacht sind, teilen sie ein ähnliches Befehls- und Kontrollschema basierend aufwärts Hypertext Transfer Protocol-Kommunikation. Von dort können die Schadsoftware-Betreiber die gesamte Schadsoftware-Familie durch vereinen Sprung von Befehls- und Kontrollskripten kontrollieren.”

ScarCruft ist wahrscheinlich seither mindestens 2012 rührig und hierfür prominent, öffentliche und private Sektoren in Südkorea anzugreifen, um sensible Informationen zu plündern, die in den kompromittierten Systemen gespeichert sind, und wurde zuvor mit einer Windows-basierten Hintertür namens RokRAT beobachtet.
Dieser primäre von APT37 verwendete anfängliche Infektionsvektor ist Spear-Phishing, zwischen dem welcher Schauspieler eine Mail an ein Ziel sendet, dasjenige mit einem bösartigen Schriftstück bewaffnet ist. Im August 2021 wurde welcher Bedrohungsakteur mit zwei Exploits im WWW Explorer-Webbrowser enttarnt, um Todesopfer mit einem benutzerdefinierten Implantat namens BLUELIGHT zu infizieren, während er vereinen Watering-Hole-Sturm gegen eine südkoreanische Online-Zeitung inszenierte.
Dieser von Kaspersky untersuchte Kern ist in mancher Hinsicht verwandt und unterschiedlich. Dieser Schauspieler wandte sich mit gestohlenen Facebook-Zugangsdaten an die Mitwirkender und Bekannten des Opfers, um vereinen ersten Kontakt herzustellen, um dann eine Spear-Phishing-Mail mit einem passwortgeschützten RAR-Dokumentensammlung mit einem Word-Schriftstück zu versenden. Dieses Lockvogel-Schriftstück behauptet, es gehe um “Nordkoreas neueste Situation und unsrige nationale Sicherheit”.
Dies Öffnen des Microsoft Office-Dokuments löst die Explikation eines Makros und die Entschlüsselung welcher im Schriftstück eingebetteten Nutzlast welcher nächsten Stufe aus. Die Nutzlast, eine Visual Basic-Softwaresystem (VBA), enthält vereinen Shellcode, welcher wiederum die Nutzlast welcher letzten Stufe mit Backdoor-Fähigkeiten von einem Remote-Server abruft.
Zusätzliche Techniken, die GReAT zwischen einem welcher infizierten Todesopfer aufgedeckt hat, zeigen, dass es den Betreibern nachdem welcher Verletzung am 22. August, um dasjenige Gerät zu steuern und sensible Informationen an vereinen Command-and-Control-Server (C2) zu veräußern.

Darüber hinaus bringt Chinotto eine eigene Androide-Variante mit, um dasjenige gleiche Ziel zu klappen, seine Benutzer auszuspionieren. Die bösartige APK-File, die zusätzlich vereinen Smishing-Sturm an die Empfänger geliefert wird, fordert die Benutzer aufwärts, ihr während welcher Installationsphase eine Vielzahl von Berechtigungen zu erteilen, sodass die App Kontaktlisten, News, Anrufprotokolle, Geräteinformationen, Audioaufzeichnungen und Statistik ansammeln kann in Apps wie Huawei Drive, Tencent WeChat (untergeordnet prominent qua Weixin) und KakaoTalk gespeichert.
Kaspersky sagte, es habe mit Südkoreas Notfallteams zusammengearbeitet, um die Angriffsinfrastruktur von ScarCruft zu zerstören, und fügte hinzu, dass es die Wurzeln von Chinotto in PoorWeb verfolgt habe, einer Hintertür, die zuvor welcher APT-Horde zugeschrieben wurde.
„Viele Journalisten, Überläufer und Menschenrechtsaktivisten sind Ziel ausgeklügelter Cyberangriffe“, sagten die Forscher. “Im Kontroverse zu Unternehmen verfügen solche Ziele normalerweise nicht zusätzlich ausreichende Werkzeuge, um sich vor hochqualifizierten Überwachungsangriffen zu schützen und darauf zu reagieren.”
[ad_2]