サイバーセキュリティ企業Volexityにより、EvilBamboo(旧称Evil Eye)として知られる脅威アクターによる、長期にわたり継続中のサイバー諜報キャンペーンが明らかになった。この大規模な作戦は、チベット人、ウイグル人、台湾の個人および組織を標的としている。
5年以上に及ぶVolexityの監視活動により、EvilBambooの活動の変遷が追跡されてきた。2019年9月には、ウイグル人およびチベット人コミュニティへの侵入を目的とした偵察フレームワークとカスタマイズされたAndroidマルウェアが確認された。
さらに2020年4月には、EvilBambooはSafariのエクスプロイトを展開し、ウイグル人ユーザーの端末にiOSマルウェアを植え付けることで攻撃をエスカレートさせた。Volexityが先週金曜日に公開した新たなレポートの内容には、2023年6月にVolexityの脅威インテリジェンス顧客へ送付され、LABScon 2023で発表された複数のレポートからの情報が含まれている。
Volexityの研究者であるCallum Roxan、Paul Rascagneres、Thomas Lancasterが執筆したアドバイザリによると、EvilBambooは2023年1月17日以降、台湾のAPK共有フォーラムのスレッドを通じてAndroidスパイウェアBADBAZAARを配布し、主に台湾のユーザーを標的にしてきたことが示されている。
これらのスレッドでは、迷惑電話やメッセージの識別を支援するWhoscallのAndroidアプリのクラック版が宣伝されている。脅威アクターはダウンロードリンクを定期的に更新し、被害者をDropboxまたはGoogle Driveのリンクへ誘導する。
Androidスパイウェアの配布を支援するため、EvilBambooはSignalアプリの改ざん版であるBADSIGNALを配布することを目的とした偽サイトを作成している。脅威アクターはTelegramなど他のアプリにもバックドアを仕込んでいる。
侵害されたモバイルアプリについて詳しく読む:暗号資産ウォレットを標的にTelegramとWhatsAppがトロイの木馬化
EvilBambooはTelegramグループを利用して、侵害されたアプリケーションの最新バージョンを共有している。これらのグループは特定のアプリやカテゴリに対応しており、ユーザーがダウンロードしやすいようになっている。
脅威アクターはまた、JMASKのような難読化されたプロファイリングスクリプトを読み込むためにウェブサイトを使用しており、JMASKは端末情報を収集し、Ethereumアカウントを一覧化し、ユーザーのブラウザのフィンガープリントを取得する。別のサイトもBADSOLARと同様のパターンを共有しており、RedditやTwitterで積極的に宣伝されている。
「モバイル端末が侵害されると、個人に関する極めて機微な情報を大量に収集できるようになり、その個人、そしてその周囲の人々を危険にさらす可能性がある」 と、Volexityのアドバイザリには記されている。
「これらのキャンペーンは主として、ユーザーがバックドア付きアプリをインストールすることに依存しており、信頼できる作成者からのみアプリをインストールする重要性と、バックドア付きアプリが公式アプリストアに入り込むのを阻止する有効なセキュリティ機構が欠如していることの双方を浮き彫りにしている。」
翻訳元: https://www.infosecurity-magazine.com/news/china-evilbamboo-targets-mobiles/
