Chinotto: Kaspersky wykrywa szkodliwe oprogramowanie kontrolowane przez cybergang ScarCruft
ScarCruft to sponsorowane przez rząd ugrupowanie APT, a jego aktywność obejmuje głównie inwigilację organizacji rządowych związanych z Półwyspem Koreańskim, uciekinierami z Korei Północnej oraz lokalnymi dziennikarzami. Niedawno do firmy Kaspersky zgłosił się lokalny serwis informacyjny z prośbą o pomoc techniczną podczas prowadzonych przez siebie dochodzeń dotyczących cyberbezpieczeństwa. Dzięki temu badacze z firmy Kaspersky mieli okazję przeprowadzić głębsze dochodzenie na komputerze, który padł ofiarą ataku cybergangu ScarCruft. Eksperci ściśle współpracowali z lokalnym zespołem CERT w celu zbadania infrastruktury należącej do atakujących. W trakcie analizy wykryto zaawansowaną kampanię wycelowaną w użytkowników mających związki z Koreą Północną.
W wyniku dochodzenia badacze z firmy Kaspersky zidentyfikowali szkodliwy plik wykonywalny systemu Windows, któremu nadali nazwę Chinotto. Jak się później okazało, szkodnik jest dostępny w trzech wersjach: jako skrypt PowerShell, plik wykonywalny Windows oraz aplikacja dla systemu Android. Wszystkie trzy wersje posiadały podobny, oparty na komunikacji HTTP, schemat sterowania i kontroli. To oznacza, że operatorzy tego szkodliwego oprogramowania mogą kontrolować całą rodzinę narzędzi za pomocą jednego zestawu skryptów.
W wyniku jednoczesnego zainfekowania komputera i telefonu ofiary operator szkodliwego oprogramowania może obejść uwierzytelnienie dwuskładnikowe w komunikatorach internetowych lub poczcie e-mail, kradnąc wiadomości SMS z telefonu. Potem może już ukraść dowolne interesujące go informacje i kontynuować ataki, np. na znajomych lub partnerów biznesowych ofiary. Jedną z cech charakterystycznych nowego szkodliwego oprogramowania jest ogromna ilość śmieciowego kodu mającego na celu utrudnienie analizy.
Analizowany komputer został zainfekowany PowerShellowym wariantem szkodnika, a badacze z firmy Kaspersky znaleźli dowody na to, że atakujący ukradli wcześniej dane ofiary i miesiącami śledzili jej działania. Mimo że nie są w stanie oszacować, ile dokładnie i jakie dane zostały skradzione, badacze wiedzą, że operator szkodnika gromadził zrzuty ekranu i wyprowadzał je z systemu w okresie od lipca do sierpnia 2021 r.
Początkowo cyberprzestępcy wykorzystywali skradzione konto ofiary na Facebooku w celu kontaktowania się z jej znajomym, który również prowadzi działalność związaną z Koreą Północną. Atakujący wykorzystali tę relację w celu zgromadzenia informacji o jego działaniach, a następnie zaatakowali cel przy użyciu spersonalizowanej wiadomości phishingowej zawierającej szkodliwy dokument Worda o nazwie sugerującej informacje o najświeższych wydarzeniach z Korei Północnej i bezpieczeństwie narodowym.
Dokument zawierał szkodliwe makro oraz narzędzie umożliwiające przeprowadzenie wieloetapowego procesu infekcji. W pierwszej fazie szkodnik sprawdzał, czy na maszynie ofiary znajduje się rozwiązanie bezpieczeństwa firmy Kaspersky. Jeśli rozwiązanie to było zainstalowane w systemie, proces infekcji wykonywał działania sprawiające, że pakiet Microsoft Office ufał wszystkim makrom i uruchamiał dowolny kod bez wyświetlania ostrzeżenia o zabezpieczeniach czy pytania o zgodę użytkownika. Jeśli w systemie nie było oprogramowania bezpieczeństwa firmy Kaspersky, makro od razu przechodziło do odszyfrowania szkodliwej funkcji kolejnego etapu. Następnie, po takiej wstępnej infekcji, cyberprzestępcy dostarczali szkodnika Chinotto, zyskując w ten sposób możliwość kontrolowania maszyny i wyprowadzania z systemu ofiary informacji poufnych.
Podczas analizy eksperci z firmy Kaspersky zidentyfikowali również cztery inne ofiary, wszystkie zlokalizowane w Korei Południowej, oraz zainfekowane serwery WWW, wykorzystywane od początku 2021 r. Z badania wynika, że celem zagrożenia są osoby fizyczne, nie zaś konkretne firmy czy organizacje.
Cel wyrafinowanych cyberataków stanowi wielu dziennikarzy, uciekinierów czy działaczy na rzecz praw człowieka. Zwykle jednak nie posiadają oni odpowiednich narzędzi, aby zabezpieczyć się przed takimi próbami inwigilacji. Zaprezentowane badanie pokazuje, jak ważne jest, by eksperci ds. bezpieczeństwa dzielili się wiedzą i inwestowali w nowe rodzaje rozwiązań bezpieczeństwa, które potrafią zwalczać takie zagrożenia. Ponadto nasza współpraca z lokalnym zespołem CERT dała nam unikatowe spojrzenie na infrastrukturę ugrupowania ScarCruft i jej właściwości techniczne, co, mam nadzieję, udoskonali naszą ochronę przed jego atakami - powiedział Seongsu Park, starszy badacz cyberbezpieczeństwa w Globalnym Zespole ds. Badań i Analiz (GReAT) firmy Kaspersky.
Szczegóły techniczne dotyczące działań cybergangu ScarCruft są dostępne na stronie https://r.kaspersky.pl/8sW35.
Porady bezpieczeństwa dla użytkowników indywidualnych
- Pobieraj aplikacje i programy z godnych zaufania stron internetowych.
- Nie zapominaj o regularnej aktualizacji systemu operacyjnego i oprogramowania. Wiele problemów dotyczących bezpieczeństwa można rozwiązać, instalując uaktualnione wersje oprogramowania.
- Bądź podejrzliwy w stosunku do załączników w wiadomościach e-mail. Zanim otworzysz załącznik lub klikniesz link, zadaj sobie następujące pytania: Czy pochodzi od osoby, którą znasz i której ufasz; Czy spodziewałeś się takiej treści?; Czy nie jest zainfekowany? Dodatkowo najedź kursorem myszy na link lub załącznik, aby zobaczyć jego pełną nazwę lub prawdziwy adres strony, do której prowadzi.
- Nie instaluj oprogramowania z nieznanych źródeł - może ono zawierać szkodliwe pliki.
- Na wszystkich komputerach i urządzeniach mobilnych stosuj skuteczne rozwiązanie bezpieczeństwa, takie jak Kaspersky Internet Security for Android lub Kaspersky Total Security.
Porady bezpieczeństwa dla firm
- Ustal zasady korzystania z oprogramowania innego niż firmowe. Uświadom pracownikom zagrożenia związane z pobieraniem niedozwolonych aplikacji z niezaufanych źródeł.
- Zapewnij personelowi szkolenie z zakresu podstawowej higieny cyberbezpieczeństwa, ponieważ wiele ataków ukierunkowanych zaczyna się od prostego phishingu lub innych metod socjotechniki.
- Zainstaluj rozwiązanie EDR umożliwiające wykrywanie i badanie zagrożeń, jak również niezwłoczne łagodzenie skutków incydentów.
- Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń oraz możliwość regularnego podnoszenia kwalifikacji zawodowych za pomocą szkoleń.
- Niezależnie od właściwej ochrony punków końcowych, w walce z wyrafinowanymi atakami pomóc mogą specjalistyczne usługi.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.