Dikatakan bahwa aktor ancaman yang terkait dengan Korea Utara yang dikenal sebagai pelari berada di belakang alat pengintai Android yang belum pernah dilihat sebelumnya Kospy Ditujukan untuk pengguna Korea dan Inggris.
Lookout, yang berbagi rincian kampanye malware, mengatakan bahwa versi pertama berasal dari Maret 2022. Sampel terbaru ditandai pada Maret 2024. Tidak jelas seberapa sukses upaya ini.
“Kospy dapat mengumpulkan data yang luas, seperti pesan SMS, catatan panggilan, lokasi, file, audio dan tangkapan layar melalui aksesori yang dimuat secara dinamis,” pepatah Dalam analisis.
Artefak berbahaya didasarkan pada aplikasi layanan publik di Google Play Store resmi, menggunakan Administrator Nama, Administrator Telepon, Administrator Cerdas, Utilitas Pembaruan Perangkat Lunak dan Keselamatan Kakao untuk menipu pengguna offset untuk menginfeksi perangkat mereka sendiri.
Semua aplikasi yang diidentifikasi menawarkan fungsionalitas yang dijanjikan untuk menghindari meningkatkan kecurigaan saat menerapkan spyware di latar belakang di latar belakang. Sejak itu, aplikasi telah dihapus dari pasar aplikasi.
Scorcruct, juga disebut APT27 dan Reaper, adalah kelompok cybernetic memata -matai yang disponsori oleh negara Korea Utara yang aktif sejak 2012. Rantai serangan yang diatur oleh kelompok leverage yang biasa Rokrat sebagai sarana untuk Panen Data Rahasia sistem windows. Rokrat Sejak itu telah beradaptasi dengan MacOS dan Android de Target.
Aplikasi Android Malicious, setelah diinstal, dirancang untuk menghubungi basis data basis data Firebase Firebase untuk memulihkan konfigurasi yang berisi alamat server perintah dan kontrol nyata (C2).
Melalui penggunaan layanan yang sah seperti Firestore sebagai Menyelesaikan musim gugur matiPendekatan C2 dua tahap menawarkan fleksibilitas dan resistensi, yang memungkinkan aktor ancaman untuk mengubah alamat C2 kapan saja dan beroperasi tanpa terdeteksi.
“Setelah memulihkan alamat C2, Kospy mengatakan bahwa perangkat itu bukan emulator dan bahwa tanggal saat ini telah melewati tanggal aktivasi kode,” kata Lookout. “Verifikasi tanggal aktivasi ini memastikan bahwa Spyware tidak mengungkapkan niat jahatnya sebelum waktunya.”
Kospy dapat mengunduh aksesori tambahan, serta konfigurasi untuk memenuhi tujuan pengawasannya. Sifat pasti dari komplemen masih belum diketahui karena server C2 tidak lagi aktif atau tidak menanggapi aplikasi pelanggan.
Malware dirancang untuk mengumpulkan berbagai data dari perangkat yang dikompromikan, termasuk pesan SMS, catatan panggilan, lokasi perangkat, file penyimpanan lokal, tangkapan layar, denyut tombol, informasi jaringan Wi-Fi dan daftar aplikasi yang diinstal. Anda juga diperlengkapi untuk merekam audio dan mengambil foto.
Lookout mengatakan dia mengidentifikasi infrastruktur yang tumpang tindih antara kampanye Kospy dan yang sebelumnya terkait dengan kelompok pembajakan Korea Utara lainnya yang disebut Kimsuky (juga dikenal sebagai APT43).
Wawancara menular dimanifestasikan sebagai paket NPM
Penyebaran terjadi ketika Socket menemukan satu set enam paket NPM yang dirancang untuk mengimplementasikan malware yang diketahui tentang pencurian informasi yang disebut Beaverail, yang dikaitkan dengan kampanye Korea Utara saat ini. dilacak sebagai Wawancara menular. Daftar paket yang sekarang dikumpulkan di bawah ini –
- Validator buffer
- Yoojae-Validator
- Pengepakan acara
- Validator Matriks
- ketergantungan ketergantungan reaksi
- Authenticator
Paket -paket tersebut dirancang untuk mengumpulkan detail lingkungan sistem, serta kredensial yang disimpan di browser web seperti Google Chrome, Brave dan Mozilla Firefox. Ini juga masuk ke dompet cryptocurrency, mengekstraksi id.json dari Solana dan Keluaran.Wallet of Exodus.
“Enam paket baru, secara kolektif diunduh lebih dari 330 kali, secara erat meniru nama -nama perpustakaan yang dapat diandalkan secara luas, menggunakan taktik tipografi terkenal yang digunakan oleh aktor ancaman yang terkait dengan Lázaro untuk menipu pengembang,” peneliti soket Kirill Boychenko pepatah.
“Selain itu, grup APT membuat dan memelihara repositori gitub untuk lima paket berbahaya, memberikan legitimasi open source dan meningkatkan probabilitas bahwa kode berbahaya akan diintegrasikan ke dalam alur kerja pengembang.”
Kampanye Korea Utara menggunakan Rustdoor dan Koi Stealer
Temuan ini juga mengikuti penemuan kampanye baru yang telah diarahkan ke sektor cryptocurrency dengan malware macOS berbasis oksida Sudut (juga dikenal sebagai Maling) dan varian macOS yang sebelumnya tidak berdokumen dari keluarga malware yang dikenal sebagai Pencuri Koi.
Palo Alto Networks Unit 42 mengatakan bahwa karakteristik penyerang memiliki kesamaan dengan wawancara menular, dan bahwa mereka mengevaluasi dengan keyakinan sedang bahwa kegiatan tersebut dilakukan atas nama rezim Korea Utara.
Secara khusus, rantai serangan menyiratkan penggunaan proyek wawancara kerja palsu yang, ketika berjalan melalui Microsoft Visual Studio, mencoba mengunduh dan mengeksekusi Rustdoor. Malware kemudian melanjutkan untuk mencuri kata sandi dari Google Chrome di Lotpass Extension, mengeluarkan data ke server eksternal dan mengunduh dua bash skrip tambahan untuk membuka shell terbalik.
Tahap akhir dari infeksi menyiratkan pemulihan dan pelaksanaan muatan lain, versi pencuri macos de koi yang dibuat oleh Visual Studio untuk menipu para korban untuk memasukkan kata sandi sistem mereka, yang memungkinkannya mengumpulkan dan mengeluarkan data mesin.
“Kampanye ini menyoroti risiko yang dihadapi pepatah. “Risiko ini diperbesar ketika pelaku adalah aktor ancaman negara-bangsa, dibandingkan dengan motivasi finansial yang murni kejahatan dunia maya.”
