与朝鲜存在关联的威胁组织ScarCruft被指开发了一款名为KoSpy的新型安卓监控工具,主要针对韩语和英语用户。网络安全公司Lookout披露了该恶意活动的细节,称其最早版本可追溯至2022年3月,最新样本于2024年3月被标记,具体攻击成功率尚不明确。
Lookout在分析报告中指出:”KoSpy可通过动态加载插件收集短信、通话记录、定位信息、本地文件、音频和屏幕截图等大量数据。”
恶意程序伪装成Google Play官方商店中的实用工具应用,使用”文件管理器”、”手机管家”、”智能管理器”、”软件更新工具”和”Kakao安全组件”等名称诱骗用户安装。
所有被识别的应用均提供宣称的功能以避免引起怀疑,同时在后台秘密部署间谍组件。目前这些应用已从应用市场下架。
ScarCruft又名APT27和Reaper,是自2012年开始活跃的朝鲜政府支持型网络间谍组织。该组织主要通过RokRAT木马从Windows系统窃取敏感数据,该木马后续已适配macOS和Android系统。
安装恶意安卓应用后,程序会连接Firebase Firestore云数据库获取包含实际命令与控制(C2)服务器地址的配置。这种利用Firestore等合法服务作为死投解析器的两阶段C2机制兼具灵活性与隐蔽性,允许攻击者随时更换C2地址并保持隐蔽运作。
Lookout表示:”在获取C2地址后,KoSpy会验证设备是否非模拟器,并确认当前日期是否超过硬编码的激活日期。这种激活日期检查机制确保间谍软件不会过早暴露恶意意图。”
KoSpy能够下载额外插件和配置以实现监控目标。由于C2服务器已停止活动或未响应请求,插件的具体功能尚不明确。
该恶意软件设计用于从受感染设备收集短信、通话记录、设备定位、本地存储文件、屏幕截图、键盘记录、Wi-Fi网络信息和已安装应用列表等广泛数据,同时具备录音和拍照功能。Lookout指出KoSpy攻击活动的基础设施与先前归因于另一朝鲜黑客组织Kimsuky(又称APT43)的行动存在重叠。
Contagious Interview行动通过npm包传播
此次披露恰逢Socket安全团队发现六个植入已知信息窃取木马BeaverTail的npm软件包,该木马与朝鲜持续进行的”Contagious Interview”攻击行动相关。已移除的软件包列表如下:
is-buffer-validator
yoojae-validator
event-handle-package
array-empty-validator
react-event-dependency
auth-validator
这些软件包旨在收集系统环境详情及谷歌Chrome、Brave、Mozilla Firefox等浏览器存储的凭证,同时针对Solana的id.json和Exodus的exodus.wallet等加密货币钱包文件进行窃取。
Socket研究员Kirill Boychenko表示:”这六个累计下载量超330次的新软件包高度模仿主流可信库名称,采用了与Lazarus组织关联攻击者相同的拼写错误(typosquatting)策略。此外,该APT组织为其中五个恶意包创建并维护了GitHub仓库,通过伪装开源项目合法性提高有害代码渗入开发者工作流程的概率。”
朝鲜攻击行动使用RustDoor与Koi Stealer
该发现同时关联一项针对加密货币行业的新攻击活动,攻击者使用基于Rust开发的macOS恶意软件RustDoor(又名ThiefBucket)及此前未记录的Koi Stealer家族macOS变种。
帕洛阿尔托网络Unit 42团队表示,攻击者特征与Contagious Interview存在相似性,并以中等置信度评估该活动系为朝鲜政权服务。具体攻击链涉及伪造的”工作面试”项目,当通过微软Visual Studio执行时,会尝试下载并运行RustDoor。该恶意软件随后从LastPass Chrome扩展窃取密码,将数据外传至外部服务器,并下载两个用于开启反向Shell的bash脚本。
感染最终阶段会检索并执行另一有效载荷——伪装成Visual Studio的Koi Stealer macOS版本,诱骗受害者输入系统密码,从而收集并窃取设备数据。安全研究人员Adva Gabay和Daniel Frank指出:”该行动凸显全球机构面临精密社会工程攻击的风险,此类攻击旨在渗透网络并窃取敏感数据与加密货币。当攻击者系国家级威胁组织时,相关风险远高于纯经济动机的网络犯罪。”
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容