- KONNIハッカーはKakaoTalkを利用してマルウェアを配布し、被害者のアカウント認証情報を収集
- 攻撃者はGoogle Find Hubを悪用し、Androidデバイスを遠隔で消去して検知を回避
- 侵害されたPCは連絡先にマルウェアを拡散し、モバイルデバイスは繰り返し初期化される
政府と関係のある北朝鮮の脅威アクターが、ターゲットのAndroidデバイスを工場出荷時設定にリセットして証拠を隠していたことが確認されました。
Geniansの研究者によると、これらの攻撃は実際に観測されており、主に韓国の個人を標的として、KONNIと呼ばれるグループ(使用しているリモートアクセスツールにちなんで命名)によって実行されています。
研究者によれば、KONNIはKimsukyやAPT37(いずれも北朝鮮の国家支援アクター)と「標的やインフラが重複している」と述べています。
デバイスの消去
攻撃は、国内で最も人気のあるインスタントチャットメッセンジャーの一つであるKakaoTalk上で始まり、KONNIのエージェントが国税庁や警察など信頼できる組織になりすまして接触します。
会話の中で、デジタル署名されたMSIファイル(またはそれを含むZIPアーカイブ)を送り、被害者がそれを実行すると、最終的にさまざまなマルウェアモジュール(RemcosRAT、QuasarRAT、RftRATなど)をダウンロードするスクリプトが起動します。
これらのRATは、侵害されたデバイスからあらゆる種類の情報を収集し、GoogleやNaverのアカウント認証情報も含まれ、これらを使って被害者のGoogleアカウントにログインします。
そこからGoogle Find Hub(ユーザーがデバイスの遠隔位置特定、ロック、消去ができる内蔵ツール)にアクセスし、他の登録済みAndroidデバイスをすべて確認できるだけでなく、被害者の位置情報も追跡します。
被害者が外出中などで素早く対応できないと判断すると、すべてのデバイスに遠隔で初期化コマンドを送り、データを消去し、アラートを無効化し、KakaoTalkのPCセッションから被害者を切断します。この消去は3回行われます。
モバイルデバイスが消去されてもKakaoTalkのPCセッションがまだ有効な場合、ハッカーは侵害されたコンピュータを使って被害者の連絡先に悪意のあるファイルを送り、感染をさらに拡大させます。
この攻撃の動機は現時点では不明ですが、国家支援の脅威アクターは通常、サイバースパイ活動や妨害工作に従事しています。
GoogleニュースでTechRadarをフォロー、 優先ソースとして追加して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。フォローボタンも忘れずにクリックしてください!
もちろん、TikTokでTechRadarをフォローして、ニュースやレビュー、開封動画などを動画でチェックし、WhatsAppでも定期的な最新情報を受け取れます。
