【蠢蠢欲動】北韓國家級黑客組織APT37發惡意軟件竊南韓機密
北韓國家級黑客組織又有搞作!名為 APT37 的黑客組織,發布一種名為 Chinotto 的惡意軟件,專攻南韓記者、脫北者和人權倡議者,以水坑攻擊、魚叉式網絡釣魚電子郵件和發送惡意軟件的短訊發動攻擊,並感染 Windows 和 Android 設備。
APT37(又名 Reaper)2012 年起一直活躍,是網絡安全公司 FireEye 定性為高信度懷疑與朝鮮政府有聯繫的 APT 組織(advanced persistent threat group)。而其他網絡安全公司也將其追蹤,各自將之命名為 StarCruft(Kaspersky Lab)、Group123(Cisco Talos)或 FreeMilk(Palo Alto Networks)。該組織為朝鮮政權利益出發,目標針對包括記者、外交官和政府官員。
惡意軟件 Chinotto 最近一次的部署由 Kaspersky 安全研究人員發現,部署後能讓黑客組織控制受感染的設備、通過屏幕截圖監視用戶、部署額外的有效載荷、收集數據並將其上傳到攻擊者控制的伺服器。這個後門在入侵最初幾個月後,傳送到受害者的設備上的。其中一個個案黑客在安裝 Chinotto 前伺機而動長達六個月,從而讓自己能在受感染的設備中,竊取敏感數據。
Kaspersky 懷疑該主機在 2021 年 3 月 22 日遭到入侵,而惡意軟件操控者後來於 2021 年 8 月發布了 Chinotto 惡意軟件,並可能由這時開始從受害者處竊取敏感數據。Kaspersky 指,根據他們從該受害者發現的訊息,可以確認惡意軟件操作者在 2021 年 8 月 6 日至 2021 年 9 月 8 日期間,收集並洩露相關屏幕截圖。
Chinotto 屬於高度可定制的惡意軟件,如同在分析時發現的許多變體所示,有時甚至在同一受感染設備上,部署了多個有效負載。研究人員稱,惡意軟件開發者不斷改變惡意軟件的功能以逃避檢查,並根據受害者的情況創建自定義變體。該惡意軟件的 Windows 和 Android 變體均使用相同的指令和控制通訊模式,並將竊取得來的資訊,發送到主要位於韓國的網絡服務器。
由於 Android 變體請求對受感染設備的權限擴展,一旦獲得授權,Chinotto 就可以使用它們來收集大量敏感數據,包括受害者的聯絡人、短訊、通話記錄、裝置信息,甚至是錄音。如果當中還包括竊取了受害者的憑據,它就會允許 APT37 透過電子郵件和社交媒體以竊取的憑據,聯繫其他目標。
Kaspersky 總結指,攻擊者可能針對 Windows 系統進行魚叉式網絡釣魚攻擊,並對 Android 系統作釣魚攻擊。攻擊者利用 Windows 可執行版本和 PowerShell 版本來控制 Windows 系統,又指他們能假定如果受害者的主機和手機同時受到感染,攻擊者就能透過竊取 手機 SMS 訊息來完成雙重因素身份驗證。