このキャンペーンはGoogleアカウントを乗っ取り、Androidの「Find Hub」機能を悪用して被害者のスマートフォンを遠隔でワイプし、信頼されたKakaoTalkの連絡先を通じてマルウェアを拡散しました。
北朝鮮に関連する脅威アクターが、Google自身のセキュリティエコシステムを武器化する新たな方法を見つけ、被害者のスマートフォンからスパイ活動のデータを遠隔で消去するために利用しています。
Genians Security Center(GSC)の調査によると、攻撃者はAndroid端末の追跡・管理サービス「Find Hub」を利用し、Androidスマートフォンやタブレットのデータを遠隔でワイプしました。
「Find Hubは本来Android端末を保護するためのものですが、国家支援の脅威アクターがGoogleアカウントを侵害して遠隔操作を取得し、このサービスを使って位置追跡やリモートワイプを実行したことが確認されたのはこれが初めてです」とGSCの研究者はブログ投稿で述べています。「この事例は、APTキャンペーン内でこの機能が悪用される現実的なリスクを示しています。」
GSCは、これらの活動をKimsukyまたはAPT37グループと関連するKONNI APTグループによるものと特定しています。
このキャンペーンは、人気の韓国メッセンジャーKaKaoTalkを使ったソーシャルエンジニアリングによってさらに強化され、被害者には心理的な「ストレス解消」プログラムを装った悪意のあるアプリが送られました。
紛失端末機能からワイプ爆弾へ
GSCは、攻撃者が正規のGoogleアカウントを侵害し、Find Hubのリモート管理機能を最大限に活用していたことを発見しました。一度ログインすると、位置情報の追跡やワイプコマンドの実行が可能となり、Android端末の個人データを効果的に削除し、通常の警告チャンネルも無効化されました。
「注目すべき発見は、Find Hubの位置情報クエリで被害者が外出中であることを確認した直後、脅威アクターが被害者端末にリモートリセットコマンドを実行したことです」と研究者は付け加えました。「リモートリセットにより端末の通常動作が停止し、メッセンジャーアプリからの通知やメッセージアラートがブロックされ、アカウント所有者の認知経路が効果的に遮断されることで、検知や対応が遅れることになります。」
端末を遮断することで、攻撃者はさらなる拡散や制御のための静かな時間を作り出します。
ブログでは、初期アクセスは韓国国税庁(NTS)を装った標的型フィッシングメールによって得られたと説明しています。被害者は添付ファイル付きのメールを受け取り、実行すると悪意のあるスクリプト(Autoltベース)をインストールしたり、Google認証情報を盗むRATを仕込まれたりしました。
「侵害されたGoogleアカウントを通じたリモートワイプ機能の不正利用を防ぐため、サービスプロバイダーは正規の端末所有者であることを確認する追加認証プロセスなど、リアルタイムのセキュリティ検証措置を見直し、実装すべきです」と研究者は推奨しています。
脅威は端末ワイプにとどまらず、攻撃者は信頼された連絡先のKakaoTalkアカウントを侵害してマルウェアを配布しています。
GSCは、「ストレス解消プログラム」を装った悪意のあるファイルがメッセンジャーを通じて親しい連絡先に送信されていたことを発見しました。「被害者の中には、北朝鮮脱北青少年の心理的困難に対応し、キャリアガイダンスや教育相談、メンタリングなどのサービスを提供して定着支援を行う専門の心理カウンセラーも含まれていました」と研究者は付け加えています。
一方の攻撃経路は端末の無力化によるアラートの無効化、もう一方は侵害されたチャットアカウントを通じたマルウェア配布でした。GSCは、この組み合わせは既知の国家支援APTアクターの中でも前例がなく、攻撃者の「戦術的成熟度と高度な回避戦略」を示していると述べています。
ブログでは、メッセンジャープラットフォーム経由で受信したファイルを開いたり実行したりする前に検証を強化し、ユーザーが悪意のあるファイルのダウンロードや実行を回避できるよう明確な警告を表示することが、この攻撃経路への対策となりうると指摘しています。Geniansの調査結果は、最近のClayRatやBadbox 2.0キャンペーンと同様、攻撃者が複雑なゼロデイ脆弱性に頼るのではなく、信頼されたアプリや組み込みサービスを悪用する傾向が強まっていることを浮き彫りにしています。
