北朝鮮のハッカーが、グーグルの「Find Hub」ツールを悪用して標的のGPS位置を追跡し、遠隔操作でアンドロイド端末を工場出荷時の設定にリセットしている。
この攻撃は主に韓国人をターゲットにしており、まず韓国で最も人気のあるインスタントメッセージングアプリであるカカオトーク・メッセンジャーで潜在的な被害者に接近する。
韓国のサイバーセキュリティ・ソリューション企業であるGeniansは、この悪質な活動をKONNI活動クラスターに関連付け、「KimsukyやAPT37とターゲットやインフラが重複している」としている。
KONNIは通常、複数のセクター(教育、政府、暗号通貨など)を標的としたAPT37(ScarCruft)およびKimsuky(Emerald Sleet)グループの北朝鮮ハッカーからの攻撃に関連しているリモートアクセスツールを指します。
Geniansによると、KONNIキャンペーンは、機密データの流出を可能にするリモートアクセス型トロイの木馬でコンピュータを感染させる。
Androidデバイスのワイプは、被害者を孤立させ、攻撃の痕跡を削除し、復旧を遅らせ、セキュリティアラートを黙らせるために行われる。特に、リセットは被害者をカカオトークのPCセッションから切り離し、攻撃者はワイプ後にこれを乗っ取ってターゲットの連絡先に拡散します。
感染チェーン
Geniansが分析したKONNIキャンペーンは、韓国の国税庁や警察などの機関になりすましたスピアフィッシング・メッセージによって被害者を狙います。
被害者がデジタル署名されたMSI添付ファイル(またはそれを含む.ZIP)を実行すると、このファイルは、偽の「言語パックエラー」でユーザーを欺くためのおとりとして使用される、埋め込まれたinstall.batと error.vbsスクリプトを起動します。
BATはAutoITスクリプト(IoKITr.au3)を起動し、スケジュールされたタスクによってデバイスに永続性を設定する。このスクリプトは、コマンド&コントロール(C2)ポイントから追加モジュールをフェッチし、脅威行為者にリモートアクセス、キーロギング、追加のペイロード導入機能を提供する。
Genians によると、このスクリプトによって取得されるセカンダリペイロードには、RemcosRAT、QuasarRAT、RftRAT が含まれます。
これらのツールは、被害者のGoogleおよびNaverアカウントの認証情報を採取するために使用され、ターゲットのGmailおよびNaverメールへのログイン、セキュリティ設定の変更、侵害を示すログの消去を可能にします。
Find Hubを使用してデバイスをリセット
侵害されたGoogleアカウントから、攻撃者はGoogle Find Hubを開き、登録されたAndroidデバイスを検索し、GPS位置情報を照会します。
Find HubはAndroidのデフォルトの “Find my Device “ツールで、紛失や盗難の際にAndroidデバイスをリモートで検索、ロック、あるいは消去することができます。
Geniansのフォレンジック分析では、複数の被害者のコンピュータ・システムから、攻撃者がFind Hubのリモート・リセット・コマンドを使ってターゲットのデバイスを消去していることが判明しました。
「調査の結果、9月5日の朝、北朝鮮からの脱北者の青少年に対する心理的サポートを専門とする韓国在住のカウンセラーのカカオトーク・アカウントに侵入し、悪用した脅威者が、「ストレス解消プログラム」を装った悪意のあるファイルを実際の脱北者の学生に送信したことが判明しました」とGeniansの研究者は述べています。
研究者によると、ハッカーはGPS追跡機能を使い、ターゲットが外にいて緊急に対応する能力が低い時間帯を選んだという。
ソースはこちら:Genians Security
攻撃中、脅威者は登録されたすべてのAndroidデバイスでリモートリセットコマンドを実行した。これにより、重要なデータが完全に削除されました。攻撃者はワイプコマンドを3回実行し、デバイスの回復と使用を長期間阻止しました。
モバイルアラートが無効化された後、攻撃者はすでに侵害されたコンピュータ上で被害者がログインしていたカカオトークのPCセッションを使用し、被害者の連絡先に悪意のあるファイルを配布しました。
9月15日、Geniansは同じ手口で別の被害者が別の攻撃を受けていることに気づきました。
このような攻撃を阻止するためには、多要素認証を有効にしてGoogleアカウントを保護し、回復用アカウントへの迅速なアクセスを確保することが推奨される。
メッセンジャーアプリでファイルを受信する場合は、ダウンロードしたり開いたりする前に、必ず送信者に直接電話して身元を確認するようにしましょう。
Geniansのレポートには、使用されたマルウェアの技術的分析と、調査された活動に関連する侵害の指標(IoC)のリストが含まれています。
更新 11/11– Googleの広報担当者は、上記に関して以下のコメントを送ってきた。
「この攻撃は、AndroidやFind Hubのセキュリティ上の欠陥を悪用したものではありません。報告によると、この標的型攻撃では、Googleアカウントの認証情報を盗み出し、Find Hub(旧Find My Device)の正当な機能を悪用するために、PC用のマルウェアが存在する必要がありました。私たちは、すべてのユーザーに対して、認証情報の盗難から包括的に保護するために、2段階認証またはパスキーを有効にするよう強く求めています。より高い視認性や標的型攻撃に直面しているユーザーには、Google の最強レベルのアカウントセキュリティを提供するAdvanced Protection Programへの加入をお勧めします。”- グーグルの広報担当者。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2026年CISO予算ベンチマーク
予算の季節です!300人以上のCISOやセキュリティ・リーダーが、来年に向けてどのような計画、支出、優先順位付けを行っているかを発表しました。本レポートでは、2026年に向けた戦略のベンチマーク、新たなトレンドの特定、優先事項の比較を可能にするために、彼らの洞察をまとめています。
トップリーダーがどのように投資を測定可能なインパクトに変えているかをご覧ください。
Comments