Wiadomości

Podczas prowadzonego niedawno dochodzenia badacze z firmy Kaspersky wykryli nieznane wcześniej szkodliwe oprogramowanie (które określili nazwą Chinotto), atakujące uciekinierów z Korei Północnej oraz działaczy na rzecz praw człowieka. Szkodnik potrafi kontrolować zainfekowane urządzenia z systemem Windows oraz Android i kraść z nich poufne informacje. Ponadto cyberprzestępcy próbowali gromadzić informacje i atakować kontakty swoich ofiar poprzez zhakowane konta e-mail oraz profile w mediach społecznościowych. Operatorem nowego szkodnika jest cybergang ScarCruft.

ScarCruft to sponsorowane przez rząd ugrupowanie APT, a jego aktywność obejmuje głównie inwigilację organizacji rządowych związanych z Półwyspem Koreańskim, uciekinierami z Korei Północnej oraz lokalnymi dziennikarzami. Niedawno do firmy Kaspersky zgłosił się lokalny serwis informacyjny z prośbą o pomoc techniczną podczas prowadzonych przez siebie dochodzeń dotyczących cyberbezpieczeństwa. Dzięki temu badacze z firmy Kaspersky mieli okazję przeprowadzić głębsze dochodzenie na komputerze, który padł ofiarą ataku cybergangu ScarCruft. Eksperci ściśle współpracowali z lokalnym zespołem CERT w celu zbadania infrastruktury należącej do atakujących. W trakcie analizy wykryto zaawansowaną kampanię wycelowaną w użytkowników mających związki z Koreą Północną.

W wyniku dochodzenia badacze z firmy Kaspersky zidentyfikowali szkodliwy plik wykonywalny systemu Windows, któremu nadali nazwę Chinotto. Jak się później okazało, szkodnik jest dostępny w trzech wersjach: jako skrypt PowerShell, plik wykonywalny Windows oraz aplikacja dla systemu Android. Wszystkie trzy wersje posiadały podobny, oparty na komunikacji HTTP, schemat sterowania i kontroli. To oznacza, że operatorzy tego szkodliwego oprogramowania mogą kontrolować całą rodzinę narzędzi za pomocą jednego zestawu skryptów.

W wyniku jednoczesnego zainfekowania komputera i telefonu ofiary operator szkodliwego oprogramowania może obejść uwierzytelnienie dwuskładnikowe w komunikatorach internetowych lub poczcie e-mail, kradnąc wiadomości SMS z telefonu. Potem może już ukraść dowolne interesujące go informacje i kontynuować ataki, np. na znajomych lub partnerów biznesowych ofiary. Jedną z cech charakterystycznych nowego szkodliwego oprogramowania jest ogromna ilość śmieciowego kodu mającego na celu utrudnienie analizy.

Analizowany komputer został zainfekowany PowerShellowym wariantem szkodnika, a badacze z firmy Kaspersky znaleźli dowody na to, że atakujący ukradli wcześniej dane ofiary i miesiącami śledzili jej działania. Mimo że nie są w stanie oszacować, ile dokładnie i jakie dane zostały skradzione, badacze wiedzą, że operator szkodnika gromadził zrzuty ekranu i wyprowadzał je z systemu w okresie od lipca do sierpnia 2021 r.

Początkowo cyberprzestępcy wykorzystywali skradzione konto ofiary na Facebooku w celu kontaktowania się z jej znajomym, który również prowadzi działalność związaną z Koreą Północną. Atakujący wykorzystali tę relację w celu zgromadzenia informacji o jego działaniach, a następnie zaatakowali cel przy użyciu spersonalizowanej wiadomości phishingowej zawierającej szkodliwy dokument Worda o nazwie sugerującej informacje o najświeższych wydarzeniach z Korei Północnej i bezpieczeństwie narodowym.

Dokument zawierał szkodliwe makro oraz narzędzie umożliwiające przeprowadzenie wieloetapowego procesu infekcji. W pierwszej fazie szkodnik sprawdzał, czy na maszynie ofiary znajduje się rozwiązanie bezpieczeństwa firmy Kaspersky. Jeśli rozwiązanie to było zainstalowane w systemie, proces infekcji wykonywał działania sprawiające, że pakiet Microsoft Office ufał wszystkim makrom i uruchamiał dowolny kod bez wyświetlania ostrzeżenia o zabezpieczeniach czy pytania o zgodę użytkownika. Jeśli w systemie nie było oprogramowania bezpieczeństwa firmy Kaspersky, makro od razu przechodziło do odszyfrowania szkodliwej funkcji kolejnego etapu. Następnie, po takiej wstępnej infekcji, cyberprzestępcy dostarczali szkodnika Chinotto, zyskując w ten sposób możliwość kontrolowania maszyny i wyprowadzania z systemu ofiary informacji poufnych.

Podczas analizy eksperci z firmy Kaspersky zidentyfikowali również cztery inne ofiary, wszystkie zlokalizowane w Korei Południowej, oraz zainfekowane serwery WWW, wykorzystywane od początku 2021 r. Z badania wynika, że celem zagrożenia są osoby fizyczne, nie zaś konkretne firmy czy organizacje.

Cel wyrafinowanych cyberataków stanowi wielu dziennikarzy, uciekinierów czy działaczy na rzecz praw człowieka. Zwykle jednak nie posiadają oni odpowiednich narzędzi, aby zabezpieczyć się przed takimi próbami inwigilacji. Zaprezentowane badanie pokazuje, jak ważne jest, by eksperci ds. bezpieczeństwa dzielili się wiedzą i inwestowali w nowe rodzaje rozwiązań bezpieczeństwa, które potrafią zwalczać takie zagrożenia. Ponadto nasza współpraca z lokalnym zespołem CERT dała nam unikatowe spojrzenie na infrastrukturę ugrupowania ScarCruft i jej właściwości techniczne, co, mam nadzieję, udoskonali naszą ochronę przed jego atakami - powiedział Seongsu Park, starszy badacz cyberbezpieczeństwa w Globalnym Zespole ds. Badań i Analiz (GReAT) firmy Kaspersky.

źródło: Kaspersky