与朝鲜有关的APT组织ScarCruft被发现使用新型Android间谍软件KoSpy

与朝鲜有关的威胁组织ScarCruft（又名APT37、Reaper和Group123）被发现使用一种名为KoSpy的Android监控工具，该工具此前未被检测到，主要用于针对韩语和英语用户。

ScarCruft自至少2012年以来一直活跃，2018年2月初成为头条新闻，当时研究人员透露，该APT组织利用Adobe Flash Player中的零日漏洞向韩国用户传播恶意软件。

卡巴斯基在2016年首次记录了该组织的活动。APT37组织发起的网络攻击主要针对韩国的政府、国防、军事和媒体组织。

Lookout研究人员以中等置信度将这款间谍软件归因于ScarCruft组织。研究人员表示，该威胁是一个相对较新的恶意软件家族，最早的样本可追溯到2022年3月。网络安全公司检测到的最新样本日期为2024年3月。

“KoSpy被发现使用虚假的实用程序应用诱饵，如‘文件管理器’、‘软件更新工具’和‘Kakao安全’，以感染设备。”研究人员发布的报告中写道。“该间谍软件利用Google Play商店和Firebase Firestore分发应用程序并接收配置数据。报告中提到的所有应用程序已从Google Play中删除，相关的Firebase项目已被Google停用。”

KoSpy通过插件收集短信、通话、位置、文件、音频和截图。该监控工具伪装成五个不同的应用程序：휴대폰 관리자（手机管理器）、文件管理器、스마트 관리자（智能管理器）、카카오 보안（Kakao安全）和软件更新工具。

专家注意到，该应用程序伪装成具有基本功能的实用程序应用，除了Kakao安全，它通过虚假的权限请求欺骗用户。在激活之前，KoSpy会检查是否在虚拟化环境中运行，并确认当前日期是否超过硬编码的激活日期，以避免分析和检测。

执行后，间谍软件从Firebase Firestore检索加密配置，控制激活和C2服务器地址。此设置允许攻击者启用、禁用或更改服务器以实现隐蔽性和弹性。

KoSpy通过两种请求类型与其C2服务器通信：一种用于下载插件，另一种用于检索监控配置。配置请求以加密的JSON格式发送，控制C2 ping频率、插件URL和受害者消息等参数。间谍软件使用通过硬件指纹计算的唯一ID来标识每个受害者。虽然一些C2域名仍在线，但它们不会响应客户端请求。间谍软件通过AES将加密数据传输到多个Firebase项目和C2服务器以进行进一步利用。

Lookout研究人员发现KoSpy与朝鲜威胁组织APT43和APT37之间存在联系。其中一个C2域名st0746[.]net链接到韩国的一个IP地址，该地址之前与恶意韩国相关域名相关联。这些域名包括naverfiles.com和mailcorp.center，与APT37使用的Konni恶意软件相关，以及nidlogon.com，属于APT43的基础设施。共享的基础设施表明KoSpy可能是针对韩国用户的更广泛网络间谍活动的一部分。

除了与APT37的联系外，此次KoSpy活动还与APT43使用的基础设施有关——APT43是另一个朝鲜黑客组织。众所周知，朝鲜威胁行为者拥有重叠的基础设施、目标和TTP，这使得归因于特定行为者更加困难。”报告总结道。“基于上述共享基础设施、共同目标和近期联系，Lookout研究人员以中等置信度将此KoSpy活动归因于APT37。

原文始发于微信公众号（黑猫安全）：与朝鲜有关的APT组织ScarCruft被发现使用新型Android间谍软件KoSpy