Sjevernokorejski hakeri zloupotrebljavaju Googleov alat Find Hub kako bi pratili GPS lokaciju svojih žrtava i daljinski vraćali Android uređaje na fabrička podešavanja.
Napadi su uglavnom usmjereni na građane Južne Koreje i počinju kontaktom sa potencijalnim žrtvama putem aplikacije KakaoTalk, najpopularnijeg servisa za dopisivanje u zemlji.
Južnokorejska kompanija za sajber bezbjednost Genians povezuje ovu malicioznu aktivnost sa klasterom KONNI, koji ima zajedničke mete i infrastrukturu sa grupama Kimsuky i APT37 (ScarCruft).
KONNI se odnosi na alat za daljinski pristup koji je ranije povezivan sa napadima sjevernokorejskih hakera na obrazovne institucije, državne organe i kripto sektor. Prema Geniansu, ova kampanja inficira računare trojancima za daljinski pristup (RAT), što omogućava krađu osjetljivih podataka.
Brisanje Android uređaja koristi se da bi se žrtve izolovale, uklonili tragovi napada, odložio oporavak i utišala bezbjednosna upozorenja. Posebno, resetovanjem se prekidaju KakaoTalk PC sesije, koje hakeri zatim preuzimaju i koriste za širenje malicioznih fajlova kontaktima žrtava.
KONNI kampanja koristi spear-phishing poruke koje imitiraju južnokorejske institucije poput Nacionalne poreske službe i policije.
Kada žrtva pokrene digitalno potpisani MSI fajl (ili .ZIP arhivu koja ga sadrži), aktivira se skripta install.bat zajedno sa error.vbs, koja prikazuje lažno upozorenje o “grešci u jezičkom paketu”.
BAT fajl potom pokreće AutoIT skriptu (IoKITr.au3) koja uspostavlja trajnost kroz zakazani zadatak. Skripta zatim preuzima dodatne module sa C2 servera, omogućavajući hakerima daljinski pristup, keylogging i ubacivanje novih payloadova.
Sekundarni payloadovi uključuju RemcosRAT, QuasarRAT i RftRAT, alate koji se koriste za krađu Google i Naver akreditiva, čime napadači dobijaju pristup mejlovima žrtve, mijenjaju bezbjednosna podešavanja i brišu tragove kompromitovanja.
Nakon kompromitovanja Google naloga, napadači koriste Google Find Hub da lociraju registrovane Android uređaje i dobiju GPS podatke.
Find Hub je podrazumijevani Android alat za pronalaženje izgubljenih uređaja, omogućavajući korisnicima da ih lociraju, zaključaju ili obrišu.
Forenzička analiza koju je sproveo Genians otkrila je da su hakeri koristili daljinsku komandu za resetovanje uređaja putem Find Huba.
„Istragom je utvrđeno da je 5. septembra haker kompromitovao i zloupotrijebio KakaoTalk nalog savjetnika iz Južne Koreje koji pruža psihološku podršku sjevernokorejskim prebjeglicama, te poslao maliciozni fajl maskiran kao ‘program za oslobađanje od stresa’ jednom učeniku-prebjegu“, navodi Genians.
Napadači su koristili GPS funkciju da izaberu trenutak kada je žrtva bila vani i manje sposobna da odmah reaguje. Tokom napada, izvršene su tri komande za brisanje podataka, čime je onemogućen oporavak uređaja i produženo vrijeme nefunkcionalnosti.
Sa deaktiviranim mobilnim upozorenjima, hakeri su potom koristili aktivnu KakaoTalk PC sesiju na kompromitovanom računaru kako bi distribuirali maliciozne fajlove kontaktima žrtve.
Deset dana kasnije, 15. septembra, Genians je primijetio novi napad sproveden istom metodom.
Preporučuje se da korisnici zaštite svoje Google naloge uključivanjem višefaktorske autentifikacije (MFA) i obezbijede brz pristup nalogu za oporavak.
Prilikom primanja fajlova putem aplikacija za dopisivanje, preporučuje se da se identitet pošiljaoca provjeri pozivom, prije nego što se fajl preuzme ili otvori.
Geniansov izvještaj sadrži i tehničku analizu malvera i listu indikatora kompromitacije (IoCs) povezanih sa ovom kampanjom.
„Ovaj napad nije iskoristio nikakvu ranjivost u Androidu ili Find Hubu. Izvještaj pokazuje da je napad zahtijevao prisustvo malvera na računaru žrtve kako bi ukrao Google akreditive i zloupotrijebio legitimne funkcije Find Huba. Snažno preporučujemo svim korisnicima da omoguće 2-Step Verification ili passkeys radi zaštite od krađe podataka za prijavu. Za korisnike podložne ciljanijim napadima, preporučujemo Advanced Protection Program, koji pruža najviši nivo zaštite Google naloga“, navodi portparol Googlea.
Izvor: BleepingComputer