TokyoBlackHatNews

bleepingcomputer.com 5分で読了

APT37ハッカー、Androidデータ消去攻撃でGoogle Find Hubを悪用

APT37ハッカーがGoogle Find Hubを悪用し、Androidのデータ消去攻撃を実行

APT37 hackers abuse Google Find Hub in Android data-wiping attacks

北朝鮮のハッカーは、GoogleのFind Hubツールを悪用して標的のGPS位置を追跡し、Androidデバイスをリモートで初期化(工場出荷時設定にリセット)しています。

この攻撃は主に韓国人を標的としており、被害者候補にカカオトークメッセンジャー(韓国で最も人気のあるインスタントメッセージアプリ)を通じて接触することから始まります。

韓国のサイバーセキュリティソリューション企業Geniansは、この悪意ある活動をKONNI活動クラスターに関連付けており、「KimsukyやAPT37と標的やインフラが重複している」と述べています。

KONNIは通常、北朝鮮のAPT37(ScarCruft)やKimsuky(Emerald Sleet)グループによる攻撃と関連付けられているリモートアクセスツールを指し、教育、政府、暗号通貨など複数の分野を標的にしています。

Geniansによると、KONNIキャンペーンはリモートアクセス型トロイの木馬を使ってコンピューターに感染させ、機密データの流出を可能にします。

Androidデバイスの消去は、被害者を孤立させ、攻撃の痕跡を削除し、復旧を遅らせ、セキュリティ警告を無効化するために行われます。特に、リセットにより被害者はKakaoTalkのPCセッションから切断され、攻撃者は消去後にそのセッションを乗っ取って標的の連絡先に拡散します。

感染の連鎖

Geniansが分析したKONNIキャンペーンは、韓国の国税庁や警察、その他の機関を装ったスピアフィッシングメッセージを通じて被害者を狙います。

被害者がデジタル署名されたMSI添付ファイル(またはそれを含むZIPファイル)を実行すると、埋め込まれたinstall.baterror.vbsスクリプトが起動し、ユーザーを偽の「言語パックエラー」で欺くためのダミーとして使われます。

BATファイルはAutoITスクリプト(IoKITr.au3)を起動し、スケジュールタスクを通じてデバイスに永続性を確立します。このスクリプトはC2(コマンド&コントロール)ポイントから追加モジュールを取得し、攻撃者にリモートアクセス、キーロギング、追加ペイロードの導入機能を提供します。

Geniansによると、スクリプトによって取得される二次ペイロードにはRemcosRAT、QuasarRAT、RftRATが含まれています。

これらのツールは被害者のGoogleおよびNaverアカウントの認証情報を収集するために使用され、それにより攻撃者は標的のGmailやNaverメールにログインし、セキュリティ設定を変更し、侵害の痕跡となるログを消去できます。

Find Hubを使ったデバイスのリセット

侵害されたGoogleアカウントから、攻撃者はGoogle Find Hubを開いて登録済みのAndroidデバイスを取得し、GPS位置情報を照会します。

Find HubはAndroidのデフォルトの「端末を探す」ツールで、ユーザーが紛失や盗難時にAndroidデバイスをリモートで探す、ロックする、あるいは消去することができます。

Geniansによる複数の被害者コンピューターシステムのフォレンジック分析で、攻撃者がFind Hubのリモートリセットコマンドを使って標的のデバイスを消去したことが明らかになりました。

「調査によると、9月5日の朝、脅威アクターが北朝鮮脱北青少年の心理的支援を専門とする韓国在住のカウンセラーのKakaoTalkアカウントを侵害・悪用し、実際の脱北学生に“ストレス解消プログラム”を装った悪意あるファイルを送信しました」とGeniansの研究者は述べています

研究者によると、ハッカーはGPS追跡機能を使い、標的が外出中で迅速な対応が難しい時間帯を選んで攻撃を実行しました。

Overview of the KONNI attacks
KONNI攻撃の概要
出典:Genians Security

攻撃中、脅威アクターは登録されているすべてのAndroidデバイスに対してリモートリセットコマンドを実行しました。これにより重要なデータが完全に削除されました。攻撃者は消去コマンドを3回実行し、デバイスの復旧や利用を長期間妨げました。

モバイルの警告が無効化された後、攻撃者はすでに侵害されたコンピューター上の被害者のKakaoTalk PCセッションを利用し、被害者の連絡先に悪意あるファイルを配布しました。

9月15日、Geniansは同様の手法による別の被害者への攻撃を確認しました。

これらの攻撃を防ぐには、Googleアカウントで多要素認証を有効にし、リカバリーアカウントへの迅速なアクセスを確保することが推奨されます。

メッセンジャーアプリでファイルを受け取る際は、必ずダウンロードや開封前に送信者の身元を直接電話などで確認するようにしましょう。

Geniansのレポートには、使用されたマルウェアの技術的分析や、調査対象の活動に関連する侵害指標(IoC)のリストが含まれています。

11/11更新 – Googleの広報担当者が上記に関してBleepingComputerに以下のコメントを送っています。

「この攻撃はAndroidやFind Hubのセキュリティ上の脆弱性を悪用したものではありません。レポートによれば、この標的型攻撃にはGoogleアカウントの認証情報を盗み、Find Hub(旧Find My Device)の正規機能を悪用するためにPCマルウェアが必要でした。すべてのユーザーに対し、認証情報の窃取から包括的に保護するため、2段階認証またはパスキーの有効化を強く推奨します。より高い可視性や標的型攻撃のリスクがあるユーザーには、Googleの最強レベルのアカウントセキュリティである高度保護プログラムへの登録を推奨します。」 – Google広報担当者

翻訳元: https://www.bleepingcomputer.com/news/security/apt37-hackers-abuse-google-find-hub-in-android-data-wiping-attacks/

ソース: bleepingcomputer.com
#Android Malware #APT37 #Data wiping #Google Find Hub #KakaoTalk #Konni APT #North Korean Hackers #RAT (Remote Access Trojan) #South Korea #Spear Phishing

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用