イスラエルとイランの紛争を背景に、イラン関連のAPT「MuddyWater」が新バージョンのDCHSpy Androidスパイウェアを展開していると、モバイルセキュリティ企業Lookoutが報告しています。
少なくとも2017年から活動しており、Mango Sandstorm、Mercury、Seedworm、Static Kittenとしても追跡されているこのハッカーグループは、中東を中心とした諜報活動で知られており、米国によってイラン情報保安省(MOIS)と関連付けられています。
イスラエルとイランの紛争が始まってから1週間後、Lookoutは新たなDCHSpyのサンプルを確認しました。これらは、政治的な誘い文句を用い、VPNや銀行アプリケーションを装って敵対者に対して展開されたようです。
DCHSpyは、Lookoutの最新レポートによると、監視目的でMuddyWaterによって開発・維持されている可能性が高く、同グループに関連する別のAndroidスパイウェアであるSandStrikeとインフラを共有しています。
Lookoutは、スパイグループのインフラに接続する悪意のあるVPN設定ファイルを含むSandStrikeのサンプルを分析しました。このサンプルは、MuddyWaterのPowerShell RATを展開するために使用されていました。
「DCHSpyはSandStrikeと同様の手法やインフラを利用しています。Telegramなどのメッセージングアプリを通じて直接共有される偽のURLを利用し、特定のグループや個人に配布されます」とLookoutは指摘しています。
感染したデバイスから、このモジュール型マルウェアはユーザーアカウント、連絡先、SMSメッセージ、ローカルファイル、位置情報、通話履歴、WhatsAppの情報を収集できます。また、マイクやカメラを乗っ取って音声を録音したり写真を撮ったりすることも可能です。
収集された情報は圧縮され、C&C(コマンド&コントロール)サーバーから受け取ったパスワードで暗号化され、SFTPサーバーにアップロードされます。
広告。スクロールして続きをお読みください。
イスラエルとイランの紛争開始以降に確認されたDCHSpyのサンプルは、Earth VPN、Comodo VPN、Hide VPN、Hazrat Eshqの名で配布され、英語やペルシャ語話者向けに各種Telegramチャンネルで反イラン的なテーマや言語を用いて宣伝されていました。
Earth VPNのサンプルの一つはStarlinkを誘い文句に配布されており、「イスラエルとイラン間の敵対行為後にイラン政府が課したインターネット遮断中、Starlinkがイラン国民にインターネットサービスを提供したとの最近の報道」を利用した可能性が高いとLookoutは指摘しています。
これまでに、サイバーセキュリティ企業は少なくとも10のイランAPTがモバイルユーザーに対する監視攻撃で使用している17のモバイルマルウェアファミリーを特定しています。
「これら最新のDCHSpyサンプルは、中東情勢の変化に伴い、特にイランがイスラエルとの停戦後に自国民への締め付けを強化する中で、監視用マルウェアの開発と利用が継続していることを示しています」とLookoutは述べています。
関連記事: 親イラン系ハッカーによるトランプ関連資料公開の脅しは「中傷キャンペーン」と米国が表明
関連記事: イラン系ハッカーが好むICS標的、米国の新たな攻撃警告の中で無防備なまま
関連記事: 米国、イラン核施設爆撃後のサイバー攻撃に備える