Новое шпионское ПО Chinotto используется против перебежчиков из Северной Кореи

Перебежчики из Северной Кореи, журналисты, освещающие новости о стране, и организации в Южной Корее стали целями новой вредоносной кампании киберпреступной группировки ScarCruft (также известной как APT37, Reaper Group, InkySquid и Ricochet Chollima).

«Злоумышленники использовали три типа вредоносных программ со схожими функциями: версии, реализованные в PowerShell, исполняемые файлы Windows и приложения для Android. Они предназначены для разных платформ, но используют схожую схему управления и контроля, основанную на связи по HTTP-протоколу. Таким образом, операторы вредоносных программ могут управлять всем семейством вредоносных программ с помощью одного набора скриптов управления и контроля», — пояснили специалисты из «Лаборатории Касперского».

Группировка ScarCruft начала свою деятельность как минимум с 2012 года и известна атаками на государственный и частный секторы в Южной Корее с целью хищения конфиденциальной информации. Кроме того, группировка ранее использовала Windows-бэкдор под названием RokRAT.

В ходе вредоносной кампании киберпреступники отправляли потенциальным жертвам сообщения, используя украденные учетные данные учетных записей Facebook. Затем группировка отправляла фишинговое электронное письмо с защищенным паролем архивом RAR, который содержит документ Microsoft Word. Документ якобы посвящен «последней ситуации в Северной Корее и национальной безопасности».

Открытие документа Microsoft Office запускает выполнение макроса и расшифровку встроенного ПО следующего этапа. Файл Visual Basic Application содержит shell-код, который получает с удаленного сервера полезную нагрузку заключительного этапа с возможностями бэкдора.

В ходе одной из атак преступники в течение двух месяцев делали скриншоты, а затем установили полнофункциональную вредоносную программу под названием Chinotto. Chinotto поставляется со своим вариантом для Android для достижения той же цели — слежки за пользователями. Вредоносный APK-файл, доставляемый получателям с помощью smishing-атаки, предлагает пользователям предоставить ему широкий спектр разрешений на этапе установки, позволяя приложению похищать списки контактов, сообщения, журналы вызовов, информацию об устройстве, аудиозаписи и данные приложений Huawei Drive, Tencent WeChat и KakaoTalk.