Grupo de hackers norte-coreano visa ativistas com malware Chinotto

APT37, um grupo de hackers norte-coreano, usou malware altamente personalizável para lançar ataques contra pessoas de interesse – incluindo ativistas de direitos humanos, jornalistas e desertores norte-coreanos.

O grupo, também conhecido como ScarCruft and Reaper, emprega campanhas de smishing (textos falsos fingindo ser de empresas conceituadas) e spear-phishing (e-mails falsos fingindo vir de um remetente confiável) para entregar o malware, chamado Chinotto, no Windows e Android dispositivos.

Uma equipe de pesquisadores da Kaspersky descobriu uma campanha recente do APT37 . O grupo de hackers foi capaz de implantar malware e, subsequentemente, obter controle sobre os dispositivos comprometidos – e coletar dados do usuário que seriam enviados de volta para os servidores de propriedade do hacker. O APT37 também foi supostamente capaz de vigiar os usuários com capturas de tela e distribuir novas cargas úteis.

APT37, ScarCruft, Reaper

O APT37 tem sido uma ameaça infame e internacional desde 2012, e a FireEye, uma empresa de segurança cibernética dos EUA, vinculou o grupo com confiança ao governo da Coreia do Norte.

Ataques direcionados

O grupo APT37 visa predominantemente desertores norte-coreanos e jornalistas que fazem reportagens sobre o regime, embora qualquer indivíduo indicado como pessoa de interesse pelo governo norte-coreano possa ser marcado para vigilância.

Durante a investigação da Kaspersky sobre o recente ataque de Chinotto, a equipe descobriu que os hackers instalaram uma porta dos fundos nos dispositivos da vítima bem depois de suas primeiras invasões – e uma instância viu hackers esperando até seis meses para instalar o malware Chinotto.

Chinotto é capaz de reunir uma quantidade surpreendente de informações de dispositivos Windows e Android.

Uma vez instalado, o malware permitiu que hackers acessassem dados pessoais de dispositivos pertencentes a vítimas que, além disso, estavam sujeitos a meses de vigilância. O relatório da Kaspersky confirmou que o operador por trás do ataque a Chinotto extraiu imagens de tela entre 6 de agosto e 8 de setembro de 2021.

Dada a natureza personalizável do malware, os hackers APT37 podem criar variantes personalizadas para enganar suas vítimas e evitar a detecção. Os pesquisadores da Kaspersky até descobriram evidências de múltiplas cargas sendo implantadas no mesmo dispositivo infectado.

As informações confidenciais obtidas nos ataques foram enviadas para servidores da web localizados predominantemente na Coreia do Sul. Chinotto é capaz de reunir uma quantidade surpreendente de informações de dispositivos Windows e Android, incluindo mensagens de texto, registros de chamadas, gravações de áudio e detalhes de contato – que podem então ser usados ​​para conduzir campanhas de smishing.

O APT37 é conhecido por tirar vantagem de credenciais roubadas para atingir novas vítimas via texto, e-mail e mídia social, e perpetuar um ciclo de cibercrime devastador.

Uma ameaça emergente

A Kaspersky realizou sua pesquisa sobre a campanha APT37 ao “fornecer apoio a ativistas de direitos humanos e desertores da Coreia do Norte contra um ator que procurava vigiá-los e rastreá-los”. Infelizmente, casos como esses são muito comuns na Coreia do Norte e geralmente afetam indivíduos sem os meios ou ferramentas para se defender contra ataques cibernéticos insidiosos.

APT37 lançou uma série de ataques internacionais agressivos desde2017

Até recentemente, o APT37 manteve um perfil mais baixo do que outros grupos de hackers norte-coreanos – o mais famoso deles é conhecido como Lazarus. Lazarus foi responsável por uma série de assaltos digitais agressivos nos últimos anos, incluindo um ataque de alto perfil à Sony Pictures em 2014.

No entanto, embora APT37 não seja atualmente tão conhecido como Lazarus, não há razão para supor que o grupo seja menos habilidoso ou ambicioso – na verdade, desde 2017, o grupo tem como alvo uma organização japonesa ligada à aplicação de sanções da ONU e um meio Negócios do leste envolvidos em uma disputa turbulenta com o governo norte-coreano.

É provável que, sendo patrocinado pelo regime da Coreia do Norte, o grupo de hackers possa ser direcionado para vários fins específicos que continuarão a evoluir junto com os interesses do estado opressor.