攻撃者は、SandStrike として知られる新たに発見されたスパイウェアを使用し、悪意のある VPN アプリケーションを介して Android ユーザーを標的に配信します。
彼らは、イランと中東の一部で発展した宗教であるバハーイー教のペルシャ語を話す実践者に焦点を当てています。
攻撃者は、特定の地域における宗教資料の検閲を回避する簡単な方法として、悪意のある VPN アプリを宣伝しています。
それを拡散するために、彼らはソーシャル メディア アカウントを使用して潜在的な被害者を Telegram チャネルにリダイレクトし、ブービー トラップ VPN をダウンロードしてインストールするためのリンクを提供します。
「犠牲者にスパイウェア インプラントをダウンロードさせるために、SandStrike の攻撃者は 1,000 人以上のフォロワーを持つ Facebook と Instagram のアカウントを設定し、魅力的な宗教をテーマにした資料を作成して、この信念の支持者に効果的な罠を仕掛けました」と Kaspersky は述べています。
「これらのソーシャル メディア アカウントのほとんどには、同じく攻撃者が作成したテレグラム チャネルへのリンクが含まれています。」
アプリは完全に機能し、独自の VPN インフラストラクチャも使用しますが、VPN クライアントは SandStrike スパイウェアもインストールします。SandStrike スパイウェアは、機密データをデバイスで探し出し、オペレーターのサーバーと通信します
このマルウェアは、通話履歴や連絡先リストなどのさまざまな種類の情報を盗み、侵害された Android デバイスを監視して、作成者が被害者の活動を追跡できるようにします。
中東の悪意のある活動サマリ
実際にマルウェアを発見したセキュリティ研究者は、その開発を特定の脅威グループに限定していません。
火曜日、Kaspersky は 2022 年第 3 四半期の APT 傾向レポートも公開し、中東での悪意のある活動に関連する興味深い発見を強調しました。
同社は、ProxyLogon タイプのセキュリティ欠陥に対するパッチが適用されていない Exchange サーバーを標的とする攻撃に展開された、FramedGolf として知られる新しい IIS バックドアを強調しています。
Kaspersky は、「このマルウェアは、遅くとも 2021 年 4 月に始まり、少なくとも 12 の組織を侵害するために使用されており、ほとんどの組織は 2022 年 6 月末になってもまだ侵害されています」と明らかにしました。
9 月には、アフリカと中東の通信会社、インターネット サービス プロバイダー、大学に対して使用されたMetatronと呼ばれる新たに発見されたマルウェア プラットフォームに関する分析も共有しました。
Kaspersky によると、Metatron は「Microsoft Console Debugger スクリプトを介してブートストラップされたモジュラー インプラント」であり、「複数のトランスポート モードを備え、転送機能とポート ノッキング機能を提供します」
Comments