北朝鮮のハッカー集団APT37は、ゲームプラットフォームを通じてサプライチェーン攻撃でBirdCallと呼ばれるバックドアのAndroid版を配信している。
BirdCallはWindowsシステム向けのバックドアとして知られているが、ScarCruftやRicochet Chollimaとしても知られるAPT37は、スパイウェアとしても機能するAndroid向けの亜種を開発した。
サイバーセキュリティ企業ESETの研究者によると、脅威の主体は2024年10月頃にAndroid用のBirdCallを作成し、少なくとも7つのバージョンを開発しました。
ESETが観測した攻撃は、Android、iOS、Windows向けのゲームをホストする中国のサイトsqgame[.]netを通じてマルウェアを配信していました。しかし、ScarCruft攻撃の標的になっているのはAndroidとWindowsだけであることが判明しました。
この特定のプラットフォームは、中国の延辺自治区に住む韓国人を対象としており、脱北者や難民のための交差点として機能している。
Source:ESET
BirdCall スパイウェア
BirdCallはScarCruftに関連する既知のマルウェア・ファミリーで、2021年以降に文書化されています。Windows版では、キー入力の記録、スクリーンショットの取得、クリップボードからの窃取、ファイルの流出、コマンドの実行が可能です。
今回ESETが確認したキャンペーンでは、Android向けに開発された、これまで文書化されていなかったバージョンのBirdCallが紹介されており、このBirdCallはsqgame[.]net上のトロイの木馬化されたAPKによって配信されました。
ソースはこちら:ESET
Android版のBirdCallには以下の機能があります:
- IPジオロケーション情報を抽出
- 連絡先リスト、通話ログ、SMSの収集
- デバイスのOS、カーネル、root化状態、IMEI番号、MACアドレス、IPアドレス、ネットワーク情報を収集
- バッテリー温度、RAM、ストレージ、クラウド設定、バックドア・バージョン、および関心のあるファイル拡張子(.jpg、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.txt、.hwp、.pdf、.m4a、.p12)に関する情報を C2 に送信します。
- 定期的にスクリーンショットを撮影
- 現地時間午後7時から午後10時までマイクで音声を録音
- 無音のMP3をループ再生し、プロセスの中断を防ぐ
- 指定したディレクトリからファイルを流出させる
ESETの分析によると、Android版のBirdCallは、Windows版に存在するすべてのコマンドをまだ備えていない。
Androidにない機能には、シェルコマンドの実行、トラフィックのプロキシ、ブラウザやメッセンジャーアプリからのデータの標的化、ファイルの削除とドロップ、プロセスの強制終了などがあります。
Windowsシステムでは、トロイの木馬化されたDLL(mono.dll)のインストールから感染チェーンが始まり、RokRATをダウンロードして実行し、Windows版のBirdCallを展開する。
ScurCraftは、エアギャップされたWindowsシステムを狙うTHUMBSBD、以前Google Playに侵入したKoSpyAndroidマルウェア、標的型スパイ攻撃に使用されるM2RATマルウェア、Dolphinモバイルバックドアなど、幅広いカスタムマルウェアを使用することで悪名高い。
マルウェア感染のリスクを最小限に抑えるため、ユーザーは公式マーケットプレイスや信頼できるパブリッシャーサイトからのみソフトウェアをダウンロードすることをお勧めする。
.article-callout { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; overflow: hidden; } .article-media { flex: 1; max-width: 220px; display: flex; } .article-media a { display: flex; width: 100%; height: 100%; } .article-media img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; display: block; } .article-callout .article-media img { margin-top: 0 !important; height: 100% !important; } .article-body { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .article-body h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .article-body p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .article-link { background-color:#border:color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; padding:10px 20px; width: fit-content; } @media (max-width: 600px) { .article-callout { flex-direction: column; align-items: center; } .article-media { max-width: 100%; } .article-media img { border-radius: 8px 8px 0 0; } .article-body { padding:.article-body { padding: 15px; width: 100%; } .article-link { width: 100%; margin: 0 auto; box-sizing: border-box; } } .
Mythosが発見した問題の99%はまだ未パッチである。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。
自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのようにエクスプロイト可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。
Comments