Disszidenseket és emberjogi aktivistákat célzó malware

Egy közelmúltbéli vizsgálat során a Kaspersky kutatói felfedeztek egy korábban ismeretlen, Chinotto névre keresztelt malware-t, mely az észak-koreai disszidenseket és emberjogi aktivistákat veszi célba. A PowersShellbe, futtatható Windows-fájlokba és Androidos alkalmazásokba beépített malware-t egy fejlett állandó fenyegetéseket (APT) alkalmazó csoport, a ScarCruft működteti.

A malware-rel át tudják venni az irányítást a célpontok eszközei felett, és érzékeny információkat tudnak kinyerni belőlük.

Sőt, a megcélzott személy kapcsolataira vonatkozó információkat is megpróbáltak begyűjteni, majd az áldozat feltört közösségi hálózatát és e-mail-fiókját használva a kapcsolatok támadását is megkísérelték.

A ScarCruft csoport egy fejlett állandó fenyegetéseket (APT) alkalmazó, nemzetállam által szponzorált támadócsoport, amely arról ismert, 

hogy főként a Koreai-félszigethez kapcsolódó kormányzati szervezeteket, észak-koreai disszidenseket és helyi újságírókat figyel meg. A Kasperskyt nemrégiben egy helyi hírszolgáltató kereste meg azzal a kéréssel, hogy nyújtsanak nekik műszaki segítséget a kiberbiztonsági vizsgálataikhoz, így a kutatóknak alkalmuk nyílt mélyrehatóbban megvizsgálni egy ScarCruft által feltört számítógépet. A Kaspersky szakemberei a helyi vészhelyzet-elhárító csapattal együttműködve vizsgálták meg a támadók parancs- és vezérlő infrastruktúráját. Az elemzés során a szakemberek egy alaposan kidolgozott, célzott kampányt fedeztek fel, amelyet a ScarCruft csoport az Észak-Koreához kapcsolódó felhasználókra összpontosított.

A vizsgálat eredményeképpen a Kaspersky szakértői felfedeztek egy Chinotto névre keresztelt rosszindulatú futtatható Windows-fájlt. A malware három verzióban érhető el: PowerShell, futtatható Windows-fájl és Androidos alkalmazás. Mind a három verzió hasonló, HTTP kommunikáción alapuló parancs- és vezérlősémát használ. Ez azt jelenti, hogy a malware működtetői az egész malware-családot egyetlen parancs- és vezérlőszkript-készlettel tudják vezérelni.

Az áldozat számítógépének és telefonjának egyidejű megfertőzésekor
a malware működtetője ki tudja küszöbölni a kéttényezős hitelesítést az üzenetküldőkben vagy a levelezésben, mégpedig úgy, hogy ellopja az SMS-eket a telefonról.

Ezt követően a működtető már bármilyen őt érdeklő információt el tud lopni és folytatni tudja a támadásokat, például az áldozat ismerősei vagy üzleti partnerei ellen.

A malware egyik jellemzője, hogy rengeteg szemétkódot tartalmaz az elemzés akadályozása érdekében. Megtölti a puffert jelentéktelen adatokkal és sohasem használja őket.

A vizsgált számítógépet PowerShell malware-rel fertőzték meg, és a Kaspersky szakemberei bizonyítékot találtak arra, hogy a támadó már ellopta az áldozat adatait, és már hónapok óta nyomon követi a cselekedeteit. Bár a Kaspersky szakértői nem tudják pontosan megbecsülni az ellopott adatok mennyiségét és jellegét, azt tudják, hogy a malware működtetője 2021. júliusában és augusztusában képernyőfotókat gyűjtött be, és azokból nyert ki adatokat.

A támadó először az áldozat ellopott Facebook-fiókja segítségével kapcsolatba lépett az áldozat egyik ismerősével, akinek szintén egy Észak-Koreához köthető vállalkozása van. Ezt követően a kapcsolatot felhasználva információkat gyűjtött az ismerős tevékenységeiről, majd később megtámadta őt egy célzott adathalász e-maillel, amely egy rosszindulatú Word-dokumentumot tartalmazott a következő címmel: „A legfrissebb észak-koreai helyzet és nemzetbiztonságunk”.

A dokumentum egy rosszindulatú makrót és egy payloadot tartalmazott egy többlépcsős támadási folyamat elindításához. Az első lépcsőben a makró ellenőrzi, hogy van-e Kaspersky biztonsági megoldás az áldozat gépén. Ha feltelepül a rendszerre, a makró megbízható hozzáférést tesz lehetővé a Visual Basic alkalmazás (VBA) számára. Ennek eredményeképpen a Microsoft Office minden makróban meg fog bízni, és minden kódot lefuttat anélkül, hogy biztonsági figyelmeztetést jelenítene meg, vagy a felhasználó engedélyét kérné.

Amennyiben a gépre nincs Kaspersky biztonsági szoftver telepítve, a makró egyenesen továbblép a következő lépcső payloadjának dekódolására. A támadók később, a kezdeti fertőzés után a Chinotto malware-t is telepítették, így át tudták venni az irányítást az áldozatok gépei felett, és érzékeny információkat tudtak kinyerni belőlük.

Az elemzés során a Kaspersky szakemberei másik négy, szintén Dél-Koreában található áldozatot is beazonosítottak, valamint feltört webszervereket is találtak, melyeket már 2021 eleje óta használtak. A kutatás szerint a fenyegetés célpontjai személyek, nem pedig konkrét vállalatok vagy szervezetek.

„Sok újságíró, disszidens és emberjogi aktivista válik kifinomult kibertámadások célpontjává. Ugyanakkor általában nem rendelkeznek a megfelelő eszközökkel az ilyen megfigyeléses támadások elleni védekezéshez, illetve azok elhárításához. Ez a kutatás is jól mutatja, milyen fontos az, hogy a biztonsági szakértők megosszák az ismereteiket, és olyan új típusú biztonsági megoldásokba ruházzanak be, amelyek fel tudják venni a harcot az ilyen jellegű fenyegetések ellen. Mindemellett a helyi vészhelyzet-elhárító csapattal folytatott együttműködésünk egyedi betekintést engedett számunkra a ScarCruft infrastruktúrájába és műszaki jellemzőibe, ami reményeim szerint javítani fog a támadásaik elleni védekezésünk biztonságán” – fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
 

Borítóképünk illusztráció