【安全资讯】APT37组织使用Chinotto新型间谍软件攻击脱北者和韩国目标

猎影实验室 2021-11-30 06:18:04 1556人浏览

引言

APT37组织又名ScarCruft、Group123、InkySquid或Temp.Reaper,自2012年以来一直活跃,是与朝鲜政府有关的APT组织。研究人员发现,自 2019 年以来,APT37组织一直在使用名为 Chinotto 的间谍软件,针对脱北者(朝鲜叛逃者)、韩国记者和政府组织进行间谍活动。

 

 

引言

APT37使用盗取的Facebook帐户凭据,与受害者的同事和熟人联系以建立初步联系,随后发送鱼叉式网络钓鱼电子邮件。邮件包含受密码保护的 RAR 存档,密码显示在电子邮件正文中。RAR 文件包含恶意 Word 文档。该文件包含与朝鲜有关的诱饵。鱼叉式网络钓鱼电子邮件和诱饵如下图:

 

文档包含一个恶意宏和一个用于多阶段感染过程的负载。打开文档会自动执行宏并解密下一阶段有效负载。有效载荷是一个 Visual Basic 应用程序 (VBA),它包含一个shellcode,用于从远程服务器检索具有后门功能的最后阶段有效载荷。

 

 

研究人员在分析了其中一个受害者后怀疑,该主机在 3 月 22 日就已遭到入侵。在最初感染之后,攻击者试图植入额外的恶意软件,但发生了导致恶意软件崩溃的错误。恶意软件运营商后来于 2021 年 8 月发布了 Chinotto 恶意软件,并在 2021 年 8 月 6 日至 2021 年 9 月 8 日窃取了受害者的敏感数据。时间线如下:

 

Chinotto是一款高度可定制的多平台恶意软件,该恶意软件的 Windows 和 Android 变体使用相同的C2通信模式,并将窃取的信息发送到主要位于韩国的网络服务器。Chinotto允许黑客组织控制受感染的设备、通过屏幕截图监视用户、部署额外的有效载荷、收集感兴趣的数据并将其上传到攻击者控制的服务器。

 

 

APT37针对 Windows 系统发起鱼叉式网络钓鱼攻击,针对 Android 系统发起钓鱼攻击。攻击者利用 Windows 可执行版本和 PowerShell 版本来控制 Windows 系统。如果受害者的主机和手机同时受到感染,则恶意软件运营商能够通过从手机窃取 SMS 消息来克服双因素身份验证。攻击流程如下:

 

总结

该活动针对的重点是韩国的实体,且研究人员猜测,APT37针对的是个人目标而不是公司或组织。许多记者、叛逃者和人权活动家都是复杂网络攻击的目标,这些目标通常没有足够的工具来防御和响应高技能的监视攻击。

 

失陷指标(IOC)28
APT APT37 韩国 政府部门 媒体行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。