検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

Reaperグループによるモバイル武器の新たな活用

Ruchna Nigam 4 05, 2018 at 01:00 午前

※ 本記事は2018年4月5日に米国で掲載されたブログ記事の抄訳版となります。

要約

EST Securityによる最近の投稿で、北朝鮮のReaperグループ(APT37、Scarcruft、Group 123、Red Eyesとしても知られる)とつながるスピアフィッシング メールの添付ファイルで、Androidスパイウェアが使用されていることがわかりました。この脅威グループのツールキットに新たにモバイル ベクトルが追加されたことが注目されています。

Unit 42は、このESTの発見についてさらに調査を進めて、元の記事で言及されたトロイの木馬のより高度な亜種を観測しました。Talosがこの亜種について記事を書いており、KevDroidと命名しています。

この投稿では、KevDroidの分析を行うだけでなく、Bitcoin Ticker WidgetアプリケーションおよびPyeongChang Winter Gamesアプリケーションにおいて、以前の未知のトロイの木馬化されたバージョンの発見についても詳しく述べます。これらのバージョンは、このスパイウェア亜種のダウンローダーです。

 

背景

EST Securityによる投稿では、Naver (韓国大手の検索およびWebポータル サービス プロバイダ)製アンチウイルス アプリケーションを装うAndroidスパイウェアについて詳しく説明されていました。弊社は、同じサンプルを捕捉すると同時に、同じ亜種でさらに2つのバージョンを発見しました。1つはcgalim[.]comにつながっており、これはパロアルトネットワークスが非モバイル攻撃(付録のIOC参照)でReaperグループによる使用を既に観測していたドメインです。

アプリ名

アイコン

SHA256

Google Defender Update

06222141a684de8a0b6e5dc1f7a2b14603c98dbe404ad7605dc9eb9d903c3df8

Update

f33aedfe5ebc918f5489e1f8a9fe19b160f112726e7ac2687e429695723bca6a

表1:Reaperグループにつながる、元のAndroid スパイウェア亜種の検出済み追加サンプル

元の亜種のアーティファクトに注目することで、同じスパイウェアのより高度な亜種を見つけることができました。これについては、以下で詳しく述べます。また、2つの亜種のそれぞれのダウンローダーとしての役割を果たす2つのAndroidアプリケーションも発見しました。これについては、次項で述べます。

 

ダウンローダー

ReaperグループのAndroidスパイウェアの亜種を調査していくうちに、hxxp://cgalim.com/admin/hr/1[.]apkからアプリケーションをダウンロードしてインストールする機能を持つ、2つのアプリケーションを発見しました。また、Androidスパイウェアの高度な亜種を提供するURLが同じであることも観測し、これら2つのアプリケーションがReaperグループのAndroidスパイウェアのダウンローダーとしての役割を果たしていることを確認しました。この2つのアプリケーションは、Google Playストアで入手可能な一般的なアプリケーションをトロイの木馬化したバージョンです。トロイの木馬化されたバージョンは、Google Playには存在しません。

両方のダウンローダーともに同じURLに接続してペイロードをダウンロードしますが、コードを詳しく調べると、ReaperのAndroidスパイウェアの特定の1亜種をダウンロードしてドロップするようにそれぞれ作成されていることがわかります。

 

アプリ名

アイコン

SHA256

ドロップするペイロード

PyeongChang Winter Games

28c69801929f0472cef346880a295cdf4956023cd3d72a1b6e72238f5b033aca

新しい亜種

Bitcoin Ticker Widget

679d6ad1dd6d1078300e24cf5dbd17efea1141b0a619ff08b6cc8ff94cfbb27e

元の亜種

表2: Reaperグループにつながるスパイウェア亜種のドロップに使用されるAndroid ダウンローダー

両方のアプリケーションが、同じ証明書で署名されているので、同じ作成者によるものであることが確認できます。

Owner: CN=Jhon Phalccon, OU=Google Chrome, O=Google Chrome, L=Washington, ST=US, C=US
Issuer: CN=Jhon Phalccon, OU=Google Chrome, O=Google Chrome, L=Washington, ST=US, C=US
Serial number: 7b320fab
Valid from: Wed Jan 24 10:22:50 GMT 2018 until: Sun Jun 11 10:22:50 GMT 2045

これらのダウンローダーは、インストールされると、アプリケーションを更新するようにユーザーを促すメッセージを表示します。ユーザーがこのプロンプトに従うと、ダウンローダーはペイロードを取得して、外部デバイス メモリにAppName.apkという名前で保存します。このペイロードは、ロードされて、再度ユーザーにインストールを確認するように促すプロンプトを表示してから、最終的にデバイスにインストールされます。次のセクションでは、より新しく、より高度なこれらのペイロードの亜種について分析します。

高度な亜種の分析

この分析では、次のサンプルを使用しました。

アプリ名

アイコン

SHA256

PU

(空白)

990d278761f87274a427b348f09475f5da4f924aa80023bf8d2320d981fb3209

表3: Reaperグループにつながる、検出済みの新しいAndroid スパイウェア亜種

 

このサンプルには、以下の機能があります。

  • 動画を記録する(デフォルトの時間は10分間)
  • 音声を記録する(デフォルトの時間は5分間。48_d[TS].amrという名前で保存)
  • スクリーンショットをとる(96_d[TS].jpgという名前で保存)
  • 電話のファイル リストを取得する(128_d[TS].txtという名前で保存)
  • 特定のファイルをフェッチする
  • コマンドのリストをダウンロードする
  • デバイス情報の取得 - 64ビットAndroid ID、電話番号、システム プロパティなど(208_d[TS].jsonという名前で保存)
  • デバイスのルーティング(パッケージ アセットの「poc」というバイナリを使用)

    また、この高度な亜種には、以下の情報の漏出機能があります。

  • 着信および発信の通話音声記録(_p[Ph]_in_[D].amrまたは_p[Ph]_out_[D].amrという名前で保存)
  • 通話ログ(16_d[TS].jsonという名前で保存)
  • SMS履歴(32_d[TS].jsonという名前で保存)
  • 連絡先リスト(144_d[TS].jsonという名前で保存)
  • 電話の登録済みアカウントに関する情報(160_d[TS].jsonという名前で保存)

それぞれのケースで、[TS]はyyyyMMddkkmmssという形式の現在のタイムスタンプです。[Ph]は通話の発信元または宛先の電話番号で、[D]は通話時間です。

これらの漏出機能は元の亜種と共有されていますが、前の亜種が オープン ソース ライブラリを使用していたのに対して、この新しい亜種は独自の通話記録ライブラリを作成します。

漏出した情報は、電話の/sdcard/_puディレクトリに書き込まれ、hxxp://hakproperty.com/new/plat/pu[.]php?do=uploadに送信されます。

転送する前に、このファイルは、「08D03B0B6BE7FBCD」というキーを使用してAES暗号化されます。この暗号化スキームとキーは、2つの亜種で一貫しています。

 

暗号化後の、ファイルはサフィックス「x」を付けて名前変更されます。作成されたすべてのファイルは、アップロード サーバーに送信された後、削除されます。

 

コマンドのリストをフェッチするように命令を受けると、リストが以下からフェッチされます。

 

hxxp://hakproperty.com/new/plat/pu[.]php?do=download_rc&aid=" + [64-bit android_id]

 

結論

新しい攻撃ベクトルの出現、さらにそれに続く、冬季五輪など時節に応じたアプリケーションを装う新しい亜種の登場は、Reaperグループが活発に開発を進めており、活動範囲を拡大していることを示しています。

パロアルトネットワークスのお客様は、攻撃に対して以下の保護機能によって守られています。

1.     AutoFocusをご使用のお客様は、Reaperタグで、このグループの活動を調べることができます。

2.     WildFireは、悪意があると判断した、すべての関連サンプルを検出します。

3.     Trapsは、このグループに関連したすべての悪意のあるファイルをブロックします。

 

IOC

ReaperダウンローダーAPKのサンプル

28c69801929f0472cef346880a295cdf4956023cd3d72a1b6e72238f5b033aca

679d6ad1dd6d1078300e24cf5dbd17efea1141b0a619ff08b6cc8ff94cfbb27e

 

 

高度な亜種のサンプル

990d278761f87274a427b348f09475f5da4f924aa80023bf8d2320d981fb3209

 

 

cgalim[.]comを利用する非APK Reaper関連のサンプル

0de087ffb95c88a65e83bd99631d73d0176220e8b740785de78d2d79294f2303

6b1f2dfe805fa0e27139c5a4840042599262dbbf4511a118d3fba3d4ec35f2d7

86887ce368d9a3e7fdf9aa62418cd68daeea62269d17afb059ab64201047e378

d29895aa3f515ec9e345b05882ee02033f75745b15348030803f82372e83277a

d5de09cc5d395919d2d2000f79326a6997f4ec079879b11b05c4d1a1a847ed00

 


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.