O grupo de hackers estatal da Coreia do Norte, APT37, tem como alvo jornalistas, desertores e ativistas de direitos humanos sul-coreanos em watering holes, e-mails de spear phishing e ataques de smishing que distribuem malware chamado Chinotto, que pode infectar dispositivos Windows e Android.
O APT37 (também conhecido como Reaper) existe desde pelo menos 2012 e é um Grupo de Ameaças Persistentes Avançadas (APT) ligado ao governo norte-coreano e altamente confiável pela FireEye.
Outras empresas de segurança também o seguem, como StarCruft (Kaspersky Lab), Group123 (Cisco Talos) ou FreeMilk (Palo Alto Networks).
O grupo é conhecido por ter como alvo historicamente pessoas de interesse do regime norte-coreano, incluindo jornalistas, diplomatas e funcionários do governo.
Chinotto, o malware distribuído em sua campanha mais recente descoberta por pesquisadores de segurança da Kaspersky, permite que o grupo de hackers controle dispositivos comprometidos, espione seus usuários por meio de capturas de tela, distribua cargas adicionais, colete dados de interesse e carregue-os em servidores controlados por invasores.
Como a Kaspersky descobriu, esse backdoor foi entregue aos dispositivos das vítimas meses após as invasões iniciais. Em um caso, os hackers esperaram até seis meses antes de instalar o Chinotto, permitindo que extraíssem dados confidenciais do dispositivo infectado.
"Suspeitamos que este host foi comprometido em 22 de março de 2021. […] Posteriormente, o operador de malware entregou o malware Chinotto em agosto de 2021 e provavelmente começou a roubar dados confidenciais da vítima", disse Kaspersky.
"Com base no que descobrimos sobre essa vítima, podemos confirmar que o operador do malware coletou capturas de tela e as exfiltraram entre 6 de agosto de 2021 e 8 de setembro de 2021."
Histórico de ataques do APT37 Chinotto (Kaspersky)
malware personalizável
Chinotto é um malware altamente personalizável, como evidenciado por muitas variantes encontradas durante a análise da campanha, às vezes várias cargas distribuídas nos mesmos dispositivos infectados.
“Os autores de malware continuam a modificar a capacidade do malware de evitar a detecção e criar variantes personalizadas com base no cenário da vítima”, disseram os pesquisadores.
As variantes do malware para Windows e Android usam o mesmo modelo de comunicação de comando e controle e enviam as informações roubadas para servidores da Web localizados principalmente na Coreia do Sul.
Como as variantes do Android exigem permissões estendidas em dispositivos comprometidos, uma vez concedidas, o Chinotto pode usá-las para coletar grandes quantidades de dados confidenciais, incluindo contatos de vítimas, mensagens de texto, registros de chamadas, informações do dispositivo e até gravações de áudio.
Se também encontrar e roubar as credenciais da vítima, permite que os operadores do APT37 atinjam outros objetivos usando as credenciais roubadas por e-mail e redes sociais.
Fluxo de ataque APT37 Chinotto (Kaspersky)
"Em suma, o ator atacou as vítimas com um provável ataque de spear phishing para sistemas Windows e smishing para sistemas Android. O ator usa versões executáveis do Windows e versões do PowerShell para controlar sistemas Windows", concluiu Kaspersky.
“Podemos supor que, se o host e o celular da vítima estiverem infectados ao mesmo tempo, o operador do malware pode ignorar a autenticação de dois fatores roubando mensagens SMS do celular”.
- O que é o Telegram e por que você deveria experimentá-lo? – Revisão Geek
- Nova extensão iPhone Safari traz PIP para o YouTube
descubra mais conteúdo
O que é um amplificador integrado?
Google Pixel Watch também tem detecção de queda, mas não até o próximo ano
As melhores xícaras de café aquecidas de 2022
Como automatizar seu iPhone com base na hora, atividade ou localização
"Isso deve ter sido antes do meu tempo"
Por que a NASA enviou Snoopy para a Lua? – Revisão geek