APT41 hackers target Android users with WyrmSpy, DragonEgg spyware
2023/07/20 BleepingComputer — 中国に支援されるハッキング・グループ APT41 が、WyrmSpy と DragonEgg と命名された2つの新種のスパイウェアで、Android デバイスを標的にしていると、Lookout のセキュリティ研究者たちが警告している。 APT41 は最も古い APT ハッキング・グループの1つであり、米国/アジア/ヨーロッパなどの様々な産業を標的としてきた。このグループが攻撃する分野は、ソフトウェア開発/ハードウェア製造/シンクタンク/通信事業者/大学/海外政府などであり、さまざまな組織/事業体に対してサイバースパイ・オペレーションを仕掛けている。
APT41 に対しては、複数のサイバー・セキュリティ企業が、さまざまな名前で追跡している。Kaspersky は 2012年から、Winnti として活動を監視しており、攻撃に使用されるマルウェアを特定している。同様に、Mandiant も 2014年から追跡しており、その活動が BARIUM などの中国由来のハッキング・グループと重複していることを発見した。
米司法省は 2020年9月に、100社以上のサイバー攻撃に関与したとして、APT41 につながる5人の中国人を起訴している。
今週に発表したレポートで Lookout は、「APT41 は、多くの国家支援 APT グループとは異なり、スパイ活動のために各国の政府組織を危険にさらし、金銭的利益のために民間企業を危険にさらすという実績を持っている」と述べている。
Android のスパイウェア・リンク
通常、APT41 ハッカーたちは、脆弱性のある Web アプリケーションや、インターネットに露出したエンドポイント経由で、標的のネットワークに侵入する。しかし Lookout によると、同グループは WyrmSpy や DragonEgg スパイウェアなどで、Android デバイスを標的にしているという。
Lookout が WyrmSpy を確認したのは 2017年であり、DragonEgg を確認したのは 2021年初頭だが、最新の事例は 2023年4月のものとなる。どちらの Android マルウェア株も、二次的なペイロードを展開した後に、侵害した Android デバイス上で、広範なデータ収集/流出を実行している。
WyrmSpy はデフォルトの OS アプリに偽装し、DragonEgg はサードパーティのキーボードやメッセージアプリに偽装して、セキュリティ検知を回避している。
この2つのマルウェアは Android の署名証明書が重複しており、同一の脅威アクターによるものだと示唆される。
Lookout は、IP アドレス “121.42.149[.]52” を持つ C2 サーバを発見した後に、APT41 との関連性を確認した。この IP アドレスは、vpn2.umisen[.]com ドメインに解決され、マルウェアのソースコードにハードコードされていた。米国司法省による、2020年9月の起訴状で明らかにされたように、このサーバは 2014年5月〜2020年8月において 、APT41 の攻撃インフラの一部だったものだ。
Lookout は、「当社の研究者たちは、野放し状態のサンプルを確認していないが、ソーシャルエンジニアリング・キャンペーンを通じてマルウェアは配布されていると、中程度の確信を持って評価している。Google は、現時点の検出に基づき、このマルウェアを含むアプリは、Google Play 上に存在しないことを確認した」と述べている。
Lookout は、APT41 の Android 端末への関心について、「モバイル・エンドポイントを狙うということは、高価値のターゲットが標的であることを示している」と指摘している。
モバイル端末を狙うスパイウェアが、次から次へと登場しています。よろしければ、以下の関連記事を、ご参照ください。なお、2023/06/01 には「iOS の iMessage を侵害するゼロクリック攻撃:ロシアが米情報機関を非難している」という記事もありました。
2023/07/07:中国由来のスパイウェア:ファイル管理ツールを装う
2023/06/19:Google Play にインド由来のスパイウェア
2023/05/31:SpinOk というスパイウェア:Google Play
IoT OT Security News 
You must be logged in to post a comment.