بازیگران مظنون دولت-ملت کره شمالی به عنوان بخشی از یک کمپین مهندسی اجتماعی، روزنامه نگاری را در کره جنوبی با یک برنامه اندرویدی حاوی بدافزار هدف قرار دادند.
این یافته ها از سوی Interlab غیرانتفاعی مستقر در کره جنوبی است که بدافزار جدید RambleOn را ابداع کرد.
Ovi Liber، محقق تهدیدات Interlab، در گزارشی که این هفته منتشر شد، گفت: این عملکردهای مخرب شامل "قابلیت خواندن و افشای فهرست مخاطبین هدف، پیامک، محتوای تماس صوتی، موقعیت مکانی و موارد دیگر از زمان به خطر افتادن هدف" است.
این نرم افزار جاسوسی به عنوان یک برنامه چت ایمن به نام Fizzle (ch.seme) استتار می کند، اما در واقعیت، به عنوان مجرای برای تحویل بار مرحله بعدی میزبانی شده در pCloud و Yandex عمل می کند.
گفته میشود که برنامه چت به عنوان یک فایل بسته Android (APK) از طریق WeChat برای روزنامهنگار هدف در ۷ دسامبر ۲۰۲۲ به بهانه اینکه میخواهد در مورد یک موضوع حساس بحث کند، ارسال شده است.
هدف اصلی RambleOn این است که به عنوان بارگیری برای یک فایل APK دیگر (com.data.WeCoin) عمل کند و در عین حال درخواست مجوزهای مزاحم برای جمع آوری فایل ها، دسترسی به گزارش تماس ها، رهگیری پیام های SMS، ضبط صدا و داده های مکان را نیز داشته باشد.
محموله ثانویه، به نوبه خود، برای ارائه یک کانال جایگزین برای دسترسی به دستگاه اندرویدی آلوده با استفاده از Firebase Cloud Messaging (FCM) به عنوان مکانیزم فرمان و کنترل (C2) طراحی شده است.
Interlab بيان کرد که همپوشانی هایی را در عملکرد FCM بین RambleOn و FastFire شناسایی کرده است، بخشی از نرم افزارهای جاسوسی اندروید که سال گذشته توسط شرکت امنیت سایبری کره جنوبی S2W به Kimsuky نسبت داده شد.
لیبر با اشاره به استفاده اولی از ذخیرهسازی pCloud و Yandex برای تحویل محموله و فرمان و کنترل، گفت: قربانیشناسی این رویداد بسیار نزدیک با شیوههای عملکرد گروههایی مانند APT37 و Kimsuky است.
ارسال نظر