執筆者
銀行向けセキュリティ企業ThreatFabricは、2020年に発見されたiPhoneスパイウェア「LightSpy」が、これまで報告されていたよりも高度であり、中国が支援すると悪名高い脅威グループAPT41と関連している可能性を示す証拠を見つけた。
調査の過程で、ThreatFabricの研究者はLightSpyマルウェアの新機能を発見した。このスパイウェアは、2020年1月に香港のiOSユーザーを狙ったウォータリングホール攻撃で初めて使用された。
これらの新機能には、個人データの流出(持ち出し)を担う14個のプラグインと、デバイスのフィンガープリント収集、脅威アクターのコマンド&コントロール(C2)サーバーとの完全な接続確立、サーバーからの指令取得などを含む24個のコマンドをサポートする中核インプラントが含まれる。
LightSpyスパイウェアとは?
14個のLightSpyプラグインのうち、3つが研究者にとって特に重要だった。以下のとおりである。
- 位置情報モジュールプラグイン:特定の時間間隔で取得したスナップショットを通じて、ユーザーの現在地を追跡する。
- 音声録音プラグイン:着信中の通話中であってもマイク録音を開始できる。さらに、このプラグインはlibwechatvoipCoMm[dot]soというネイティブライブラリを用いて、WeChatのVoIP音声通話を録音できる。
- 請求(Bill)プラグイン:WeChat Payの支払い履歴を窃取する。これには、直近の請求ID、請求種別、取引ID、日付、決済処理フラグが含まれる。
これらの発見により、ThreatFabricの研究者は、LightSpyがDragonEggと関連していると結論づけた。DragonEggは、2023年7月にLookoutが発見したAndroid向けスパイウェアのインプラントで、中国のサイバー諜報グループAPT41によるものとされている。
LightSpyとAPT41の関連が観測されたのは今回が初めてである。
また、LightSpyのインフラには、中国本土、香港、台湾、シンガポール、ロシアに数十台のサーバーが含まれていることも判明した。同グループの主な標的は、アジア太平洋地域に所在すると推定されている。
報告書には、「LightSpyは、(建物の階数を含む)詳細な位置情報、VOIP通話中の音声録音、WeChat Payのバックエンドインフラからの決済データの流出など、被害者の個人情報の持ち出しに強く焦点を当てた、フル機能のモジュール型監視ツールセットであった」と記されている。
ThreatFabricの研究者は、DragonEggとともに2023年7月に発見された別のスパイウェアWyrmSpy(別名AndroidControl)が、LightSpyと同じインフラを共有しており、「その後継である可能性がある」と考えている。
APT41とは?
APT41は2012年に形成されたハッキンググループで、中国の国家安全部(MSS)との関係が疑われている。BARIUM、Double Dragon、Wicked Panda、Wicked Spiderとしても知られる。
APT41は、国家支援のサイバー諜報キャンペーンと、金銭目的のサイバー犯罪による強奪の双方を実行する点で、他のサイバー脅威とは一線を画している。
これは多くの北朝鮮系脅威グループにも当てはまるが、APT41の背景にある理屈は異なる。同グループは、国家の承認なしに、活動の空き時間にのみ金銭目的のサイバー攻撃を行い、その大半の時間は中国政権に支援された諜報活動の展開に費やす――この手法は「ムーンライティング」として知られている。
翻訳元: https://www.infosecurity-magazine.com/news/lightspy-iphone-spyware-linked/
