Обнаружены спонсируемые северокорейским государством хакеры, известные как APT37, атакующие журналистов, специализирующихся на КНДР, с помощью нового штамма вредоносного ПО.
Вредоносное ПО распространяется с помощью фишинговой атаки, впервые обнаруженной NK News, американским новостным сайтом, посвященным освещению новостей и предоставлению исследований и анализа о Северной Корее с использованием разведданных внутри страны.
Считается, что хакерская группа APT37, также известная как Ricochet Chollima, спонсируется правительством Северной Кореи, которое рассматривает новостные сообщения как враждебную операцию и пыталось использовать эту атаку для доступа к крайне конфиденциальной информации и потенциальной идентификации источников журналистов.
После того, как NK News обнаружили атаку, они обратились за дополнительной помощью к экспертам по вредоносным программам в Stairwell, которые взяли на себя технический анализ.
Стоит отметить, что это не первый раз, когда APT37 связывают с кампаниями вредоносных программ, нацеленными на журналистов, последним из которых является отчет за ноябрь 2021 года, в котором используется бэкдор Chinotto с широкими возможностями настройки.
Фишинговые электронные письма исходили от учетной записи бывшего директора Национальной разведывательной службы Южной Кореи (NIS), которую APT37 ранее скомпрометировал.
В узконаправленной кампании использовался двухэтапный процесс заражения, который предоставил злоумышленникам большую гибкость развертывания и усложнил для аналитиков выборку полезной нагрузки.
