- Gli hacker KONNI usano KakaoTalk per distribuire malware e raccogliere credenziali di account dalle vittime.
- Gli attaccanti sfruttano il Find Hub di Google per cancellare da remoto i dispositivi Android ed eludere il rilevamento.
- I PC compromessi diffondono malware ai contatti mentre i dispositivi mobili vengono ripetutamente ripristinati alle impostazioni di fabbrica.
Gruppi hacker nordcoreani collegati al governo sono stati osservati nell'atto di effettuare il factory reset dei dispositivi Android bersaglio per cancellare le proprie tracce.
I ricercatori di Genians hanno rilevato questi attacchi in corso (in the wild), diretti principalmente contro individui in Corea del Sud, e attribuiti a un gruppo denominato KONNI (che prende il nome da un remote access tool che utilizza).
I ricercatori evidenziano come KONNI presenti "obiettivi e infrastrutture sovrapposte" con Kimsuky e APT37, noti gruppi di cyber-spionaggio sponsorizzati dallo stato nordcoreano.
Cancellazione del dispositivo
L'attacco prende il via sulla piattaforma di messaggistica KakaoTalk, una delle più popolari in Corea del Sud, dove gli operatori di KONNI si fingono entità fidate, quali il Servizio Fiscale Nazionale o la polizia.
Durante la conversazione, inviano un file MSI con firma digitale (o un archivio ZIP contenente tale file) che, se eseguito dalla vittima, avvia uno script che, in ultima istanza, scarica diversi moduli malware, tra cui RemcosRAT, QuasarRAT e RftRAT.
Questi RAT (Remote Access Trojan) raccolgono ogni sorta di informazione dal dispositivo compromesso, incluse le credenziali degli account Google e Naver, che vengono poi utilizzate per accedere all'account Google della vittima.
Da lì, gli attaccanti accedono a Google Find Hub (strumento integrato che consente agli utenti di localizzare, bloccare o cancellare da remoto i propri dispositivi) e lo utilizzano non solo per visualizzare tutti gli altri dispositivi Android registrati, ma anche per tracciare la posizione della vittima.
Quando rilevano che la vittima è in movimento o in una condizione tale da non poter intervenire rapidamente, inviano comandi di factory reset remoto a tutti i dispositivi, cancellando i dati, disattivando gli avvisi e disconnettendo la vittima dalle sessioni PC di KakaoTalk. La cancellazione viene effettuata per ben tre volte.
Con il dispositivo mobile resettato ma la sessione PC di KakaoTalk ancora attiva, gli hacker sfruttano il computer compromesso per inviare file dannosi ai contatti della vittima, propagando ulteriormente le infezioni.
La motivazione dietro l'attacco non è nota al momento, ma gli attori di minacce sponsorizzati da stati sono solitamente impegnati in attività di cyber-spionaggio e disruption (disturbo operativo).
Via BleepingComputer