中国国家支援の APT41 ハッキング グループは、Lookout のセキュリティ研究者によって WyrmSpy と DragonEgg と名付けられた、新たに発見された 2 つのスパイウェア株を使用して Android デバイスをターゲットにしています。
APT41 は、米国、アジア、ヨーロッパのさまざまな業界を標的にしてきた歴史を持つ、最も古い国家ハッキング グループの 1 つです。
彼らは、ソフトウェア開発、ハードウェア製造、シンクタンク、通信会社、大学、外国政府など、さまざまな業界の組織に対してサイバースパイ活動を行っていることで知られています。
このグループは複数のサイバーセキュリティ企業によってさまざまな名前で追跡されています。カスペルスキーは、攻撃に使用されたマルウェアを特定するために、Winnti として 2012 年からその活動を監視してきました。
同様に、 マンディアントも 2014 年から彼らを追跡しており、彼らの活動が BARIUM のような他の既知の中国のハッカー グループと重複していることに気づきました。
米国司法省は2020年9月、100社以上へのサイバー攻撃に関与したとしてAPT41に関与した中国人5人を起訴した。
「国家が支援する多くのAPTグループとは異なり、APT41はスパイ活動のために政府機関を侵害し、また金銭的利益のためにさまざまな民間企業を侵害した実績がある」とルックアウト氏は今週発表した報告書で述べた。
Android スパイウェアのリンク
APT41 ハッカーは通常、脆弱な Web アプリやインターネットに公開されたエンドポイントを介してターゲットのネットワークに侵入しますが、Lookout によると、このグループは WyrmSpy および DragonEgg スパイウェア株を搭載した Android デバイスもターゲットにしているとのことです。
Lookout は 2017 年に WyrmSpy を、2021 年初めに DragonEgg を初めて特定し、最新の例は 2023 年 4 月に遡ります。
どちらの Android マルウェア株も、セカンダリ ペイロードを展開した後、侵害された Android デバイス上で有効化される広範なデータ収集および抽出機能を備えています。
WyrmSpy はデフォルトのオペレーティング システム アプリとして偽装しますが、DragonEgg はサードパーティのキーボード アプリやメッセージング アプリとして偽装し、これらの偽装を使用して検出を回避します。
また、2 つのマルウェア株は重複する Android 署名証明書を共有しており、単一の攻撃者との関係を強化しています。
Lookout は、IP アドレス 121.42.149[.]52 (vpn2.umisen[.]com ドメインに解決され、マルウェア ソース コードにハードコードされている) を持つコマンド アンド コントロール (C2) サーバーを見つけた後、APT41 へのリンクを発見しました。 )。
米国司法省の2020 年 9 月の起訴状で明らかになったように、このサーバーは 2014 年 5 月から 2020 年 8 月まで APT41 の攻撃インフラストラクチャの一部でした。
「Lookoutの研究者はまだ実際にサンプルに遭遇しておらず、それらがソーシャルエンジニアリングキャンペーンを通じて被害者に配布されたものであると中程度の自信を持って評価しています。Googleは、現在の検出に基づいて、このマルウェアを含むアプリがGoogle Play上に存在しないことを確認しました。」とLookoutは述べています。言った。
しかし、APT41 が Android デバイスに関心を寄せていることは、「モバイル エンドポイントが、切望されているデータを保有する価値の高いターゲットであることを示しています」。
Comments