北朝鮮ハッカー集団APT37、Google Find Hubを悪用しAndroidデバイスを標的に
北朝鮮のハッカー集団APT37が、Googleの「Find Hub」(デバイスを探す)ツールを悪用し、標的のGPS位置を追跡し、Androidデバイスを遠隔で工場出荷時の設定にリセットしていることが明らかになりました。主に韓国人を標的としており、攻撃は国内で最も人気のあるインスタントメッセージアプリであるKakaoTalkを通じて行われています。
韓国のサイバーセキュリティ企業Geniansは、この悪意ある活動をKONNI活動クラスターに関連付けており、これはKimsukyおよびAPT37と標的およびインフラが重複していると指摘しています。KONNIは、APT37(ScarCruft)やKimsuky(Emerald Sleet)といった北朝鮮のハッカー集団による攻撃に関連付けられているリモートアクセスツール(RAT)であり、教育、政府、仮想通貨など複数の分野を標的としています。
Geniansによると、KONNIキャンペーンはコンピューターをリモートアクセス型トロイの木馬に感染させ、機密データの持ち出しを可能にします。Androidデバイスのデータ消去は、被害者を孤立させ、攻撃の痕跡を削除し、復旧を遅らせ、セキュリティ警告を沈黙させる目的で行われます。特に、リセットは被害者をKakaoTalk PCセッションから切断し、攻撃者はデータ消去後にこのセッションを乗っ取って、標的の連絡先にマルウェアを拡散します。
感染経路の詳細
Geniansが分析したKONNIキャンペーンは、韓国国税庁、警察、その他の機関を装ったスピアフィッシングメッセージを通じて被害者を標的にします。
被害者がデジタル署名されたMSI添付ファイル(またはそれを含む.ZIPファイル)を実行すると、ファイルは埋め込まれたinstall.batとerror.vbsスクリプトを呼び出します。error.vbsは偽の「言語パックエラー」でユーザーを欺くためのデコイとして使用されます。
BATファイルはAutoITスクリプト(IoKITr.au3)をトリガーし、スケジュールされたタスクを通じてデバイスに永続性を設定します。このスクリプトは、コマンド&コントロール(C2)ポイントから追加モジュールを取得し、脅威アクターにリモートアクセス、キーロギング、および追加ペイロード導入機能を提供します。
Geniansの報告によると、スクリプトによって取得されるセカンダリペイロードには、RemcosRAT、QuasarRAT、RftRATが含まれます。これらのツールは、被害者のGoogleおよびNaverアカウントの認証情報を収集するために使用され、攻撃者は標的のGmailおよびNaverメールにログインし、セキュリティ設定を変更し、侵害を示すログを消去することが可能になります。
Find Hubを利用したデバイスのリセットと拡散
侵害されたGoogleアカウントから、攻撃者はGoogle Find Hubを開き、登録されているAndroidデバイスを取得し、そのGPS位置を照会します。Find HubはAndroidのデフォルトの「デバイスを探す」ツールであり、紛失や盗難の場合にユーザーがAndroidデバイスを遠隔で特定、ロック、またはデータ消去することを可能にします。
Geniansによる複数の被害者コンピューターシステムのフォレンジック分析により、攻撃者がFind Hubの遠隔リセットコマンドを通じて標的のデバイスをデータ消去したことが明らかになりました。
「調査の結果、9月5日の朝、脅威アクターが北朝鮮脱北者支援を専門とする韓国のカウンセラーのKakaoTalkアカウントを侵害・悪用し、『ストレス解消プログラム』と偽装した悪意あるファイルを実際の脱北学生に送信したことが判明しました」とGeniansの研究者は述べています。
研究者らは、ハッカーがGPS追跡機能を使用して、標的が外出中で緊急対応が困難な時間帯を選んで攻撃を実行したと述べています。
攻撃中、脅威アクターは登録されているすべてのAndroidデバイスに対して遠隔リセットコマンドを実行しました。これにより、重要なデータが完全に削除されました。攻撃者はデータ消去コマンドを3回実行し、デバイスの復旧と使用をより長期間にわたって妨害しました。
モバイルアラートが無効化された後、攻撃者は既に侵害されたコンピューター上の被害者のログイン済みKakaoTalk PCセッションを利用して、被害者の連絡先に悪意あるファイルを配布しました。9月15日には、同じ手法を用いた別の被害者への攻撃がGeniansによって確認されました。
推奨される対策
これらの攻撃を阻止するためには、Googleアカウントの多要素認証(MFA)を有効にすること、および復旧用アカウントへの迅速なアクセスを確保することが推奨されます。
メッセージアプリでファイルを受信する際は、ダウンロード/開く前に必ず送信者の身元を直接電話で確認するようにしてください。
Geniansのレポートには、使用されたマルウェアの技術分析と、調査された活動に関連する侵害指標(IoC)のリストが含まれています。