![朝鲜APT组织ScarCruft利用KoSpy恶意软件瞄准韩语和英语用户]( "朝鲜APT组织ScarCruft利用KoSpy恶意软件瞄准韩语和英语用户")
与朝鲜有关的威胁组织ScarCruft(又名APT37、Reaper和Group123)近期被曝光使用了一款名为KoSpy的Android监控工具,该工具主要用于针对韩语和英语用户。ScarCruft自2012年以来一直活跃,曾在2018年2月初因利用Adobe Flash Player的零日漏洞向南韩用户传播恶意软件而登上头条。
卡巴斯基在2016年首次记录了该组织的活动。APT37组织的网络攻击主要针对韩国的政府、国防、军事和媒体机构。Lookout研究人员以中等置信度将此间谍软件归因于ScarCruft组织,并指出该威胁是一个相对较新的恶意软件家族,最早样本可追溯至2022年3月。最新样本由网络安全公司于2024年3月检测到。
研究人员在报告中指出:“KoSpy通过伪装成实用应用程序(如‘文件管理器’‘软件更新工具’和‘Kakao安全’)来感染设备。”该间谍软件利用Google Play商店和Firebase Firestore分发应用程序并接收配置数据。报告提到,所有相关应用已从Google Play下架,Google也停用了相关的Firebase项目。
KoSpy通过插件收集短信、通话、位置、文件、音频和屏幕截图。间谍软件伪装成五个不同的应用程序:휴대폰 관리자(电话管理器)、文件管理器、스마트 관리자(智能管理器)、카카오 보안(Kakao安全)和软件更新工具。
专家发现,这些应用程序主要伪装成具有基本功能的实用工具,但Kakao安全则通过虚假的权限请求欺骗用户。在激活前,KoSpy会检查是否在虚拟环境中运行,并确认当前日期是否超过硬编码的激活日期,以避免被分析和检测。
执行后,间谍软件从Firebase Firestore获取加密配置,控制激活和C2服务器地址。这种设置使攻击者能够启用、禁用或更改服务器,以提高隐蔽性和弹性。
KoSpy通过两种请求类型与其C2服务器通信:一种用于下载插件,另一种用于获取监控配置。配置请求以加密JSON形式发送,控制C2 ping频率、插件URL和受害者消息等参数。间谍软件通过硬件指纹为每个受害者生成唯一的ID,并使用AES加密将数据传输到多个Firebase项目和C2服务器以进一步利用。
Lookout研究人员发现了KoSpy与朝鲜威胁组织APT43和APT37之间的联系。其中一个C2域st0746[.]net链接到韩国的一个IP地址,该地址此前与恶意韩国相关域名有关,包括naverfiles[.]com和mailcorp[.]center(与APT37使用的Konni恶意软件相关)以及nidlogon[.]com(APT43基础设施的一部分)。共享基础设施表明,KoSpy可能是针对韩国用户的更大规模网络间谍行动的一部分。
报告总结道:“除了与APT37的联系外,此次KoSpy活动还与APT43使用的基础设施有关。朝鲜威胁行为者以共享基础设施、目标和战术为特征,这使得归因于特定行为者更加困难。基于上述共享基础设施、共同目标和最近的连接,Lookout研究人员以中等置信度将此KoSpy活动归因于APT37。”
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3841010.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论