HACKING

Η APT37 στοχεύει Νοτιοκορεάτες δημοσιογράφους με το malware Chinotto

This post was originally published on this site

Η βορειοκορεατική κρατική ομάδα hacking APT37 στοχεύει Νοτιοκορεάτες δημοσιογράφους, αποστάτες και ακτιβιστές ανθρωπίνων δικαιωμάτων, μέσω email, spear-phishing και επιθέσεων που παραδίδουν το malware Chinotto, ικανό να μολύνει συσκευές Windows και Android.

Η ομάδα APT37 (γνωστή και ως Reaper) είναι ενεργή τουλάχιστον από το 2012 και είναι μια ομάδα advanced persistent threat (APT) που συνδέεται με την κυβέρνηση της Βόρειας Κορέας.

Άλλες εταιρείες ασφαλείας την παρακολουθούν και ως StarCruft (Kaspersky Lab), Group123 (Cisco Talos) ή FreeMilk (Palo Alto Networks).

Η ομάδα είναι γνωστή για την στόχευση ατόμων που ενδιαφέρουν το καθεστώς της Βόρειας Κορέας, συμπεριλαμβανομένων δημοσιογράφων, διπλωματών και κυβερνητικών υπαλλήλων.

Το Chinotto, το malware που αναπτύχθηκε στην πιο πρόσφατη καμπάνια τους – ανακαλύφθηκε από ερευνητές ασφαλείας της Kaspersky – επιτρέπει στην ομάδα hacking να ελέγχει παραβιασμένες συσκευές, να κατασκοπεύει τους χρήστες μέσω screenshots, να αναπτύσσει πρόσθετα payloads, να συλλέγει δεδομένα και να τα ανεβάζει σε servers που ελέγχονται από τους εισβολείς.

Όπως διαπίστωσε η Kaspersky, αυτό το backdoor παραδόθηκε στις συσκευές των θυμάτων μήνες μετά τις αρχικές εισβολές. Σε ένα περιστατικό, οι χάκερ περίμεναν έως και έξι μήνες πριν εγκαταστήσουν το Chinotto, το οποίο τους επέτρεψε να κάνουν exfiltrate ευαίσθητα δεδομένα από τη μολυσμένη συσκευή.

APT37 Chinotto

Το Chinotto είναι εξαιρετικά προσαρμόσιμο malware, όπως φαίνεται από πολλές παραλλαγές που βρέθηκαν κατά την ανάλυση της καμπάνιας, μερικές φορές πολλά payloads που αναπτύσσονται στις ίδιες μολυσμένες συσκευές.

Οι παραλλαγές Windows και Android του malware χρησιμοποιούν το ίδιο μοτίβο επικοινωνίας εντολών και ελέγχου και στέλνουν τις κλεμμένες πληροφορίες σε web servers που βρίσκονται κυρίως στη Νότια Κορέα.

Καθώς οι παραλλαγές Android ζητούν εκτεταμένες άδειες σε παραβιασμένες συσκευές, αφού παραχωρηθούν, το Chinotto μπορεί να τις χρησιμοποιήσει για τη συλλογή μεγάλων ποσοτήτων ευαίσθητων δεδομένων, συμπεριλαμβανομένων των επαφών των θυμάτων, των μηνυμάτων κειμένου, των αρχείων καταγραφής κλήσεων, των πληροφοριών της συσκευής, ακόμη και των ηχογραφήσεων.

Εάν επίσης βρει και κλέψει τα credentials του θύματος, επιτρέπει στους χειριστές του APT37 να προσεγγίσουν άλλους στόχους χρησιμοποιώντας τα κλεμμένα credentials μέσω email και social media.

Πηγή πληροφοριών: bleepingcomputer.com

The post Η APT37 στοχεύει Νοτιοκορεάτες δημοσιογράφους με το malware Chinotto appeared first on SecNews.gr.

Home

%d bloggers like this: