Zostaw komentarz
Podczas prowadzonego niedawno dochodzenia badacze z firmy Kaspersky wykryli nieznane wcześniej szkodliwe oprogramowanie (które określili nazwą Chinotto), atakujące uciekinierów z Korei Północnej oraz działaczy na rzecz praw człowieka. Szkodnik potrafi kontrolować zainfekowane urządzenia z systemem Windows oraz Android i kraść z nich poufne informacje. Ponadto cyberprzestępcy próbowali gromadzić informacje i atakować kontakty swoich ofiar poprzez zhakowane konta e-mail oraz profile w mediach społecznościowych. Operatorem nowego szkodnika jest cybergang ScarCruft.
ScarCruft to sponsorowane przez rząd ugrupowanie APT, a jego aktywność obejmuje głównie inwigilację organizacji rządowych związanych z Półwyspem Koreańskim, uciekinierami z Korei Północnej oraz lokalnymi dziennikarzami. Niedawno do firmy Kaspersky zgłosił się lokalny serwis informacyjny z prośbą o pomoc techniczną podczas prowadzonych przez siebie dochodzeń dotyczących cyberbezpieczeństwa. Dzięki temu badacze z firmy Kaspersky mieli okazję przeprowadzić głębsze dochodzenie na komputerze, który padł ofiarą ataku cybergangu ScarCruft. Eksperci ściśle współpracowali z lokalnym zespołem CERT w celu zbadania infrastruktury należącej do atakujących. W trakcie analizy wykryto zaawansowaną kampanię wycelowaną w użytkowników mających związki z Koreą Północną.
W wyniku dochodzenia badacze z firmy Kaspersky zidentyfikowali szkodliwy plik wykonywalny systemu Windows, któremu nadali nazwę Chinotto. Jak się później okazało, szkodnik jest dostępny w trzech wersjach: jako skrypt PowerShell, plik wykonywalny Windows oraz aplikacja dla systemu Android. Wszystkie trzy wersje posiadały podobny, oparty na komunikacji HTTP, schemat sterowania i kontroli. To oznacza, że operatorzy tego szkodliwego oprogramowania mogą kontrolować całą rodzinę narzędzi za pomocą jednego zestawu skryptów.
W wyniku jednoczesnego zainfekowania komputera i telefonu ofiary operator szkodliwego oprogramowania może obejść uwierzytelnienie dwuskładnikowe w komunikatorach internetowych lub poczcie e-mail, kradnąc wiadomości SMS z telefonu. Potem może już ukraść dowolne interesujące go informacje i kontynuować ataki, np. na znajomych lub partnerów biznesowych ofiary. Jedną z cech charakterystycznych nowego szkodliwego oprogramowania jest ogromna ilość śmieciowego kodu mającego na celu utrudnienie analizy.
Analizowany komputer został zainfekowany PowerShellowym wariantem szkodnika, a badacze z firmy Kaspersky znaleźli dowody na to, że atakujący ukradli wcześniej dane ofiary i miesiącami śledzili jej działania. Mimo że nie są w stanie oszacować, ile dokładnie i jakie dane zostały skradzione, badacze wiedzą, że operator szkodnika gromadził zrzuty ekranu i wyprowadzał je z systemu w okresie od lipca do sierpnia 2021 r.
Początkowo cyberprzestępcy wykorzystywali skradzione konto ofiary na Facebooku w celu kontaktowania się z jej znajomym, który również prowadzi działalność związaną z Koreą Północną. Atakujący wykorzystali tę relację w celu zgromadzenia informacji o jego działaniach, a następnie zaatakowali cel przy użyciu spersonalizowanej wiadomości phishingowej zawierającej szkodliwy dokument Worda o nazwie sugerującej informacje o najświeższych wydarzeniach z Korei Północnej i bezpieczeństwie narodowym.
Dokument zawierał szkodliwe makro oraz narzędzie umożliwiające przeprowadzenie wieloetapowego procesu infekcji. W pierwszej fazie szkodnik sprawdzał, czy na maszynie ofiary znajduje się rozwiązanie bezpieczeństwa firmy Kaspersky. Jeśli rozwiązanie to było zainstalowane w systemie, proces infekcji wykonywał działania sprawiające, że pakiet Microsoft Office ufał wszystkim makrom i uruchamiał dowolny kod bez wyświetlania ostrzeżenia o zabezpieczeniach czy pytania o zgodę użytkownika. Jeśli w systemie nie było oprogramowania bezpieczeństwa firmy Kaspersky, makro od razu przechodziło do odszyfrowania szkodliwej funkcji kolejnego etapu. Następnie, po takiej wstępnej infekcji, cyberprzestępcy dostarczali szkodnika Chinotto, zyskując w ten sposób możliwość kontrolowania maszyny i wyprowadzania z systemu ofiary informacji poufnych.
Podczas analizy eksperci z firmy Kaspersky zidentyfikowali również cztery inne ofiary, wszystkie zlokalizowane w Korei Południowej, oraz zainfekowane serwery WWW, wykorzystywane od początku 2021 r. Z badania wynika, że celem zagrożenia są osoby fizyczne, nie zaś konkretne firmy czy organizacje.