2021.12.13. 14:30
Disszidenseket és emberjogi aktivistákat célzó malware
Sok újságíró, disszidens és aktivista válik kifinomult kibertámadások célpontjává.
Egy közelmúltbéli vizsgálat során a Kaspersky kutatói felfedeztek egy korábban ismeretlen, Chinotto névre keresztelt malware-t, mely az észak-koreai disszidenseket és emberjogi aktivistákat veszi célba. A PowersShellbe, futtatható Windows-fájlokba és Androidos alkalmazásokba beépített malware-t egy fejlett állandó fenyegetéseket (APT) alkalmazó csoport, a ScarCruft működteti.
A malware-rel át tudják venni az irányítást a célpontok eszközei felett, és érzékeny információkat tudnak kinyerni belőlük.
Sőt, a megcélzott személy kapcsolataira vonatkozó információkat is megpróbáltak begyűjteni, majd az áldozat feltört közösségi hálózatát és e-mail-fiókját használva a kapcsolatok támadását is megkísérelték.
A ScarCruft csoport egy fejlett állandó fenyegetéseket (APT) alkalmazó, nemzetállam által szponzorált támadócsoport, amely arról ismert,
hogy főként a Koreai-félszigethez kapcsolódó kormányzati szervezeteket, észak-koreai disszidenseket és helyi újságírókat figyel meg. A Kasperskyt nemrégiben egy helyi hírszolgáltató kereste meg azzal a kéréssel, hogy nyújtsanak nekik műszaki segítséget a kiberbiztonsági vizsgálataikhoz, így a kutatóknak alkalmuk nyílt mélyrehatóbban megvizsgálni egy ScarCruft által feltört számítógépet. A Kaspersky szakemberei a helyi vészhelyzet-elhárító csapattal együttműködve vizsgálták meg a támadók parancs- és vezérlő infrastruktúráját. Az elemzés során a szakemberek egy alaposan kidolgozott, célzott kampányt fedeztek fel, amelyet a ScarCruft csoport az Észak-Koreához kapcsolódó felhasználókra összpontosított.
A vizsgálat eredményeképpen a Kaspersky szakértői felfedeztek egy Chinotto névre keresztelt rosszindulatú futtatható Windows-fájlt. A malware három verzióban érhető el: PowerShell, futtatható Windows-fájl és Androidos alkalmazás. Mind a három verzió hasonló, HTTP kommunikáción alapuló parancs- és vezérlősémát használ. Ez azt jelenti, hogy a malware működtetői az egész malware-családot egyetlen parancs- és vezérlőszkript-készlettel tudják vezérelni.
Az áldozat számítógépének és telefonjának egyidejű megfertőzésekor
a malware működtetője ki tudja küszöbölni a kéttényezős hitelesítést az üzenetküldőkben vagy a levelezésben, mégpedig úgy, hogy ellopja az SMS-eket a telefonról.
Ezt követően a működtető már bármilyen őt érdeklő információt el tud lopni és folytatni tudja a támadásokat, például az áldozat ismerősei vagy üzleti partnerei ellen.
A malware egyik jellemzője, hogy rengeteg szemétkódot tartalmaz az elemzés akadályozása érdekében. Megtölti a puffert jelentéktelen adatokkal és sohasem használja őket.
A vizsgált számítógépet PowerShell malware-rel fertőzték meg, és a Kaspersky szakemberei bizonyítékot találtak arra, hogy a támadó már ellopta az áldozat adatait, és már hónapok óta nyomon követi a cselekedeteit. Bár a Kaspersky szakértői nem tudják pontosan megbecsülni az ellopott adatok mennyiségét és jellegét, azt tudják, hogy a malware működtetője 2021. júliusában és augusztusában képernyőfotókat gyűjtött be, és azokból nyert ki adatokat.
A támadó először az áldozat ellopott Facebook-fiókja segítségével kapcsolatba lépett az áldozat egyik ismerősével, akinek szintén egy Észak-Koreához köthető vállalkozása van. Ezt követően a kapcsolatot felhasználva információkat gyűjtött az ismerős tevékenységeiről, majd később megtámadta őt egy célzott adathalász e-maillel, amely egy rosszindulatú Word-dokumentumot tartalmazott a következő címmel: „A legfrissebb észak-koreai helyzet és nemzetbiztonságunk”.
A dokumentum egy rosszindulatú makrót és egy payloadot tartalmazott egy többlépcsős támadási folyamat elindításához. Az első lépcsőben a makró ellenőrzi, hogy van-e Kaspersky biztonsági megoldás az áldozat gépén. Ha feltelepül a rendszerre, a makró megbízható hozzáférést tesz lehetővé a Visual Basic alkalmazás (VBA) számára. Ennek eredményeképpen a Microsoft Office minden makróban meg fog bízni, és minden kódot lefuttat anélkül, hogy biztonsági figyelmeztetést jelenítene meg, vagy a felhasználó engedélyét kérné.
Amennyiben a gépre nincs Kaspersky biztonsági szoftver telepítve, a makró egyenesen továbblép a következő lépcső payloadjának dekódolására. A támadók később, a kezdeti fertőzés után a Chinotto malware-t is telepítették, így át tudták venni az irányítást az áldozatok gépei felett, és érzékeny információkat tudtak kinyerni belőlük.
Az elemzés során a Kaspersky szakemberei másik négy, szintén Dél-Koreában található áldozatot is beazonosítottak, valamint feltört webszervereket is találtak, melyeket már 2021 eleje óta használtak. A kutatás szerint a fenyegetés célpontjai személyek, nem pedig konkrét vállalatok vagy szervezetek.
„Sok újságíró, disszidens és emberjogi aktivista válik kifinomult kibertámadások célpontjává. Ugyanakkor általában nem rendelkeznek a megfelelő eszközökkel az ilyen megfigyeléses támadások elleni védekezéshez, illetve azok elhárításához. Ez a kutatás is jól mutatja, milyen fontos az, hogy a biztonsági szakértők megosszák az ismereteiket, és olyan új típusú biztonsági megoldásokba ruházzanak be, amelyek fel tudják venni a harcot az ilyen jellegű fenyegetések ellen. Mindemellett a helyi vészhelyzet-elhárító csapattal folytatott együttműködésünk egyedi betekintést engedett számunkra a ScarCruft infrastruktúrájába és műszaki jellemzőibe, ami reményeim szerint javítani fog a támadásaik elleni védekezésünk biztonságán” – fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
Borítóképünk illusztráció