執筆者
サイバーセキュリティプロバイダーESETの研究者は、2022年に開始された5件のサイバー諜報キャンペーンを検知した。これらはエジプトおよびパレスチナのAndroidユーザーを標的に、トロイの木馬化されたアプリで攻撃していた。
新たなレポートでESETは、これらのキャンペーンに関する追加の詳細を提供し、中程度の確度でArid Viperハッキンググループによるものだと結論付けた。
ESETの研究者は、標的のAndroidアプリに感染させるために使用された多段階スパイウェアを「AridSpy」と命名した。
トロイの木馬化されたメッセージングアプリ
これらのサイバー諜報キャンペーンは、被害者がAndroidアプリケーションをダウンロードし、手動でインストールできる配布用ウェブサイトに依存している。
これらのウェブサイトが提供する一部のアプリは、一見すると正規のチャットアプリだが、諜報目的の悪意あるコードが仕込まれたトロイの木馬化アプリである。これがAridSpyマルウェアだ。
これらの悪意あるアプリは、NortirChat、LapizaChat、ReblyChat、PariberyChat、RenatChatになりすましている。
ESETが分析を公開した時点では、最初の3つのトロイの木馬化チャットアプリを用いたキャンペーンは依然として継続中だった一方、後者2つは活動していなかった。
「これらの悪意あるアプリはGoogle Playで提供されたことは一度もなく、サードパーティサイトからダウンロードされます。これらのアプリをインストールするには、潜在的な被害者は『不明な提供元』からのアプリをインストールするための、デフォルトでは無効のAndroidオプションを有効にするよう求められます」とESETの研究者は付け加えた。
偽の「パレスチナ民事登録」
トロイの木馬化されたメッセージングアプリに加え、AridSpyの背後にいるハッカーは、同じ専用ウェブサイトで配布される一見正規の2つのアプリも使用した。すなわち「パレスチナ民事登録」アプリと、アラビア語の求人機会アプリである。
前者はGoogle Playストアに存在する既存アプリに着想を得たもので、後者はハッカーによる完全な創作だ。
![すべてのパレスチナ人が個人データを確認できるよう、palcivilreg[.]comサイトを宣伝するFacebookページ。出典:ESET](https://assets.infosecurity-magazine.com/content/span/ee46a0a3-694d-468d-8f21-abfd9083683a.png)
いずれも、被害者をAridSpyコードのインストールへ誘導する悪意あるリンクを含んでいる。
AridSpyの技術的特徴
2021年のZimperiumおよび2022年の360 Beacon Labsによる、当時は未命名だったAridSpyの先行分析では、スパイウェアの旧バージョンは単一ステージのみで構成されていることが示されていた。特に、2022年12月にカタールで開催されたFIFAワールドカップを標的とした悪意あるキャンペーンに関与していたことが注目される。
ESETのブログによれば、このスパイウェアはその後進化し、初期のトロイの木馬化アプリがコマンド&コントロール(C2)サーバーから追加ペイロードをダウンロードする、3段階のトロイの木馬からなるより高度なペイロードへと発展した。
第2段階ペイロードの目的は、被害者データの流出(エクスフィルトレーション)による諜報活動である。
AridSpyにはハードコードされた内部バージョン番号もあり、これは今回の5つのキャンペーン間で異なるほか、以前に公開された他のサンプルとも異なっている。
「この情報は、AridSpyが保守されており、更新や機能変更を受ける可能性があることを示唆しています」とESETの研究者は付け加えた。
ESETは、AridSpyに関するより詳細な技術分析を提供している。
被害者像と帰属
研究者はAridSpyの検知を6件確認し、いずれもパレスチナとエジプトのユーザーを標的としていた。
「パレスチナで登録されたスパイウェアのインスタンスの大半は、悪意ある『パレスチナ民事登録』アプリに関するもので、もう1件の検知は本ブログ記事で言及したいずれのキャンペーンにも属していません。
その後、同じ第1段階ペイロードが、別のパッケージ名でエジプトでも見つかりました。また、エジプトでは別の第1段階ペイロードも検知されており、これはLapizaChatおよび求人機会キャンペーンのサンプルと同じ[C2]サーバーを使用しています」とESETのブログは述べている。
ESETがArid Viperに帰属させた根拠は、次の2つの指標に基づく:
- AridSpyはパレスチナとエジプトの組織を標的としており、これはArid Viperの典型的な標的の一部と一致する
- 複数のAridSpy配布サイトが、myScript.jsという固有の悪意あるJavaScriptファイルを使用しており、これは360 Beacon LabsおよびFOFAネットワーク検索エンジンにより、過去にArid Viperと関連付けられている
Arid Viperの背後にいるのは誰か?
Arid Viperは、APT-C-23、Desert Falcons、またはTwo-tailed Scorpionとしても知られ、少なくとも2013年以降、中東の国々を標的にしてきたサイバー諜報グループである。
同グループの悪意ある活動は、2015年に初めて報告された。
同グループは通常、個人を標的にして機微かつ機密性の高いデータを流出させることを目的としており、Android、iOS、およびWindowsプラットフォーム向けのマルウェアやスパイウェアを開発する特定の専門性を有している。
WhatsApp、Signal、Telegramなどの人気アプリの更新に見せかけてマルウェアを偽装することが知られている。また、悪意あるウェブサイトへのリンクを含むフィッシングメールを送信する場合もある。
Arid Viperハッカーの所在地は依然として不明である。
翻訳元: https://www.infosecurity-magazine.com/news/arid-viper-egypt-palestine-spyware/
