Kuzey Kore devlet hack grubu APT37, Güney Koreli gazetecileri, iltica edenleri ve insan hakları aktivistlerini sulama deliği, mızrak kimlik avı e-postaları ve Windows ve Android cihazlara bulaşabilen Chinotto adlı kötü amaçlı yazılımları sunan saldırılar konusunda hedef alıyor.
APT37 (diğer adıyla Reaper) en az 2012’den beri aktiftir ve gelişmiş bir kalıcı tehdit grubudur (APT) Kuzey Kore hükümeti ile bağlantılı FireEye tarafından yüksek güven ile.
Diğer güvenlik şirketleri de bunu StarCruft (Kaspersky Lab), Grup123 (Cisco Talos) veya FreeMilk (Palo Alto Ağları).
Grup, gazeteciler, diplomatlar ve hükümet çalışanları da dahil olmak üzere Kuzey Kore rejiminin ilgisini çeken kişileri tarihsel olarak hedef alanlarla tanınıyor.
Chinotto, en son kampanyalarında dağıtılan kötü amaçlı yazılım Kaspersky güvenlik araştırmacıları tarafından keşfedildi, hack grubunun güvenliği ihlal edilmiş cihazları kontrol etmesine, ekran görüntüleri aracılığıyla kullanıcılarını gözetlemesine, ek yükler dağıtmasına, ilgi çekici verileri toplamasına ve saldırgan kontrolündeki sunuculara yüklemesine olanak tanır
Kaspersky’nin bulduğu gibi, bu arka kapı ilk izinsiz girişlerden aylar sonra kurbanların cihazlarına teslim edildi. Bir durumda, bilgisayar korsanları Chinotto’yu yüklemeden önce altı ay kadar beklediler, bu da hassas verileri enfekte cihazdan çıkarmalarına izin verdi.
“Bu ev sahibinin 22 Mart 2021’de ele geçirildik. [..] Kötü amaçlı yazılım operatörü daha sonra Chinotto kötü amaçlı yazılımını Ağustos 2021’de teslim etti ve muhtemelen kurbandan hassas verileri sızdırmaya başladı.” dedi.
“Bu kurbandan bulduklarımıza dayanarak, kötü amaçlı yazılım operatörünün ekran görüntülerini topladığını ve 6 Ağustos 2021 ile 8 Eylül 2021 tarihleri arasında bunları sıztırdığını doğrulayabiliriz.”
Özelleştirilebilir kötü amaçlı yazılım
Chinotto, kampanyayı analiz ederken bulunan birçok varyantta gösterildiği gibi, bazen aynı enfekte cihazlarda dağıtılan birkaç yük olduğu için son derece özelleştirilebilir bir kötü amaçlı yazılımdır.
Araştırmacılar, “Kötü amaçlı yazılım yazarları, kurbanın senaryosuna bağlı olarak tespit edilmekten kaçınmak ve özel varyantlar oluşturmak için kötü amaçlı yazılımın yeteneklerini değiştirmeye devam ediyor” dedi.
Kötü amaçlı yazılımın Windows ve Android varyantları aynı komut ve kontrol iletişim düzenini kullanır ve çalınan bilgileri çoğunlukla Güney Kore’de bulunan web sunucularına gönderir.
Android varyantları güvenliği ihlal edilmiş cihazlarda genişletilmiş izinler talep ettikçe, Chinotto bunları kurbanların kişileri, kısa mesajlar, arama kayıtları, cihaz bilgileri ve hatta ses kayıtları da dahil olmak üzere büyük miktarda hassas veri toplamak için kullanabilir.
Ayrıca kurbanın kimlik bilgilerini bulup çalarsa, APT37 operatörlerinin çalınan kimlik bilgilerini e-posta ve sosyal medya aracılığıyla kullanarak diğer hedeflere ulaşmasını sağlar.
“Özetlemek gerekirse, aktör Kurbanları Windows sistemleri için olası bir mızrak kimlik avı saldırısı ve Android sistemleri için smishing ile hedef aldı. Aktör, Windows sistemlerini kontrol etmek için Windows yürütülebilir sürümlerinden ve PowerShell sürümlerinden yararlanıyor.”
“Bir kurbanın ev sahibine ve cep telefonuna aynı anda virüs bulaşmışsa, kötü amaçlı yazılım operatörünün cep telefonundan SMS mesajları çalarak iki faktörlü kimlik doğrulamanın üstesinden gelebileceğini varsayabiliriz.”