概要:Androidデバイスを狙った新たなサイバー攻撃
韓国のAndroidデバイスを標的とした巧妙なサイバー攻撃が発覚しました。攻撃者はGoogleの資産追跡機能である「Find Hub」を悪用し、機密性の高いユーザーデータをリモートで消去しています。心理カウンセラーや北朝鮮の人権活動家を装った脅威アクターは、ストレス解消プログラムと偽ってマルウェアを配布。これは、悪名高いKONNI APTグループに関連する国家支援型攻撃の重大なエスカレーションを示しています。
Genians Security Center (GSC) は、このキャンペーンをKONNI APTグループに起因すると特定しました。このグループは、KimsukyやAPT37といった北朝鮮政権と関連するアクターとインフラや標的が重複していることで知られています。国連が支援する多国間制裁監視チーム (MSMT) は最近、KONNIとKimsukyが別個のグループであるものの、密接に関連しており、両者とも制裁対象の63研究センターの下で活動していることを再確認しました。
KONNIの最新の攻撃は、GoogleのFind Hub(紛失した携帯電話の位置特定と保護のために設計された正当なサービス)を悪用してAndroidデバイスを標的にすることで、その作戦範囲を拡大しています。捜査官は、国家関連の脅威アクターがGoogleアカウントを侵害し、Find Hubを悪用して被害者の位置を追跡し、リモートでデバイスのワイプを実行し、重要な個人データや業務データを消去したことを初めて確認しました。
ソーシャルエンジニアリングと初期侵入
攻撃者は、北朝鮮の脱北者支援を行う精神保健専門家や人権活動家を装い、信頼を得ることでキャンペーンを開始しました。これらの関係における信頼性が被害者の脆弱性を高め、マルウェアはKakaoTalkのPCセッションを利用して連絡先間でさらに拡散しました。感染後、悪意のあるスクリプトはシステムに静かに感染し、永続性を確立し、リアルタイムの偵察に従事しました。マルウェアは複数のコマンド&コントロール (C2) サーバーと通信し、攻撃者はウェブカメラやオーディオ監視を含む追加モジュールをインストールして継続的な監視を行いました。
スピアフィッシング戦術には、国税庁を装った悪意のあるファイルを埋め込んだメールの送信や、KakaoTalkメッセンジャーを使用して「ストレス解消」ソフトウェアを配布することが含まれていました。デジタルフォレンジック分析により、初期アクセスが確立されると、攻撃者はGoogleおよびNaverアカウントの認証情報を収集したことが明らかになりました。その後、攻撃者はGoogleのセキュリティメニューを開き、「お使いのデバイス」セクションに移動し、「スマートフォンを探す」リンクを選択しました。
この制御により、彼らはGoogleのセキュリティダッシュボードにログインし、Find Hubを介してデバイスを標的にし、複数のリモートリセットコマンドを実行しました。これらのアクションは工場出荷時設定へのリセットをトリガーし、通信を無効にし、被害者をさらなる通知やアラートから遮断することで影響を増幅させました。侵害されたGoogleアカウントは、その後KakaoTalkを通じてマルウェアを配布するために使用され、リーチを拡大し、攻撃を強化しました。
個人情報や機密データが流出しただけでなく、この事件は心理的manipulationと技術的悪用の高度な組み合わせを示しており、これは運用的に成熟したAPT戦略の特徴です。
マルウェアの構造
悪意のある「Stress Clear.zip」アーカイブには、正当に見えるデジタル証明書で署名されたMSIパッケージが含まれており、基本的なセキュリティチェックを回避しました。「Stress Clear.msi」ファイルはWindowsオペレーティングシステムでのみ実行可能であり、スマートフォンなどの非互換プラットフォームでは実行できないため、これらのデバイスは感染対象ではありません。
実行時、埋め込まれたバッチファイルとAutoItスクリプトは永続性を確立し、スケジュールされたタスクをマッピングし、RemcosRAT、QuasarRAT、RftRATなどの追加モジュールを配布しました。これらにより、リモートアクセス、キーロギング、さらなるデータ流出が可能になり、従来のアンチウイルスやネットワーク制御を回避しました。
推奨されるセキュリティ対策
この一連の攻撃は、堅牢なセキュリティ対策の緊急の必要性を示しています。企業および個人は以下の対策を講じるべきです。
- 二要素認証と定期的なパスワード変更により、アカウントセキュリティを強化する。
- 最新のEDR (Endpoint Detection and Response) ソリューションを介したリアルタイムの行動ベースの検出を実装し、プロセスアクティビティ、認証情報アクセス、および疑わしいC2サイトとの通信を追跡する。
- KONNIおよび関連する北朝鮮の脅威アクターに関連するIOC (Indicators of Compromise) を監視し、ネットワークセグメンテーションと迅速な封じ込めポリシーを展開する。
Find Hubのような正当なプラットフォーム機能を悪用するこれらのアクターの能力が示されたことを踏まえ、サービスプロバイダーとユーザー双方からの協調的な努力が、リモートワイプ要求の検証と認証された所有権の強制に必要とされます。これにより、日和見的な悪用と連鎖的なデータ損失を減らすことができます。精神保健ツールを巧みに装ったAndroidデバイスのリモートワイプマルウェアの出現は、国家関連のサイバー敵対者の絶えず進化する戦略を明らかにし、プロアクティブでインテリジェンス主導の防御の必要性を強調しています。