Новое шпионское ПО Chinotto используется против перебежчиков из Северной Кореи

Новое шпионское ПО Chinotto используется против перебежчиков из Северной Кореи

Киберпреступники отправляли потенциальным жертвам сообщения, используя украденные учетные данные учетных записей Facebook.

Перебежчики из Северной Кореи, журналисты, освещающие новости о стране, и организации в Южной Корее стали целями новой вредоносной кампании киберпреступной группировки ScarCruft (также известной как APT37, Reaper Group, InkySquid и Ricochet Chollima).

«Злоумышленники использовали три типа вредоносных программ со схожими функциями: версии, реализованные в PowerShell, исполняемые файлы Windows и приложения для Android. Они предназначены для разных платформ, но используют схожую схему управления и контроля, основанную на связи по HTTP-протоколу. Таким образом, операторы вредоносных программ могут управлять всем семейством вредоносных программ с помощью одного набора скриптов управления и контроля», — пояснили специалисты из «Лаборатории Касперского».

Группировка ScarCruft начала свою деятельность как минимум с 2012 года и известна атаками на государственный и частный секторы в Южной Корее с целью хищения конфиденциальной информации. Кроме того, группировка ранее использовала Windows-бэкдор под названием RokRAT.

В ходе вредоносной кампании киберпреступники отправляли потенциальным жертвам сообщения, используя украденные учетные данные учетных записей Facebook. Затем группировка отправляла фишинговое электронное письмо с защищенным паролем архивом RAR, который содержит документ Microsoft Word. Документ якобы посвящен «последней ситуации в Северной Корее и национальной безопасности».

Открытие документа Microsoft Office запускает выполнение макроса и расшифровку встроенного ПО следующего этапа. Файл Visual Basic Application содержит shell-код, который получает с удаленного сервера полезную нагрузку заключительного этапа с возможностями бэкдора.

В ходе одной из атак преступники в течение двух месяцев делали скриншоты, а затем установили полнофункциональную вредоносную программу под названием Chinotto. Chinotto поставляется со своим вариантом для Android для достижения той же цели — слежки за пользователями. Вредоносный APK-файл, доставляемый получателям с помощью smishing-атаки, предлагает пользователям предоставить ему широкий спектр разрешений на этапе установки, позволяя приложению похищать списки контактов, сообщения, журналы вызовов, информацию об устройстве, аудиозаписи и данные приложений Huawei Drive, Tencent WeChat и KakaoTalk.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!