ペイロード配布にHugging FaceのAIプラットフォームを活用する、高度なAndroid リモートアクセス型トロイの木馬(RAT)キャンペーン。
この作戦は、サーバーサイドのポリモーフィズムと正規インフラの悪用を組み合わせ、評判ベースのフィルタリングを回避しつつ、検知を逃れるために約15分ごとに新しいマルウェアサンプルを展開します。
感染はドロッパーアプリケーションから始まり、当初は「TrustBastion」として特定され、その後「Premium Club」として再登場しました。これらのアプリはマルバタイジングを通じて配布され、セキュリティツールやユーティリティアプリを装っています
手動でインストールすると、ドロッパーは無害な挙動を示しますが、直ちに偽のアップデート通知を表示します。
このダイアログは正規のGoogle PlayまたはAndroidシステムのアップデート画面を模倣し、第二段階のペイロードのダウンロードをユーザーに承認させるよう強要します。
悪性ドメインにペイロードをホストする典型的なキャンペーンとは異なり、このキャンペーンは悪意のあるAPKをHugging Faceのリポジトリから直接取得します。
このキャンペーンを特徴づけるのは、機械学習モデルのホスティングで開発者コミュニティから広く信頼されているプラットフォームであるHugging Faceの悪用です。
huggingface.coへのトラフィックは、ドメインの評判が高いため、通常はネットワークのブロックリストを回避します。
ネットワーク分析により、ドロッパーがコマンド&コントロール(C2)エンドポイント(例:trustbastion[.]com)に接続し、リダイレクトリンクを含むHTMLページが返されることが明らかになりました。
このリンクは、ペイロードをホストする特定のHugging Faceリポジトリを指しています。
永続性を維持し、ハッシュベースの検知メカニズムを回避するため、攻撃者はサーバーサイドのポリモーフィズムを用います。
調査では、当該リポジトリが29日間で約6,000件のコミットを生成しており、その結果、15分ごとに一意のペイロードハッシュが作られていることが判明しました。
暗号学的ハッシュは変化する一方で、基盤となる悪意のあるコード構造は一貫しています。
Bitdefenderが報告しているように、インストール後、ペイロードは「電話セキュリティ」機能を装ってユーザー補助サービスへのアクセスを要求します。
この権限を付与すると、RATはAndroidのセキュリティモデルを回避し、以下を含む不正な操作を実行できるようになります:
マルウェアは、集中型C2インフラへのキープアライブ接続により、永続的な可視性を維持します。
分析中に特定された主要エンドポイントは、ポート5000上の154.198.48.57でした。このサーバーはペイロード配布を調整し、流出したデータを受信し、被害者を稼働中のHugging Faceリポジトリへ誘導するリダイレクトロジックを管理します。
翻訳元: https://cyberpress.org/attackers-abuse-hugging-face-hosting-android-rat/