※ 本記事は2018年4月5日に米国で掲載されたブログ記事の抄訳版となります。

要約

EST Securityによる最近の投稿で、北朝鮮のReaperグループ(APT37、Scarcruft、Group 123、Red Eyesとしても知られる)とつながるスピアフィッシング メールの添付ファイルで、Androidスパイウェアが使用されていることがわかりました。この脅威グループのツールキットに新たにモバイル ベクトルが追加されたことが注目されています。

Unit 42は、このESTの発見についてさらに調査を進めて、元の記事で言及されたトロイの木馬のより高度な亜種を観測しました。Talosがこの亜種について記事を書いており、KevDroidと命名しています。

この投稿では、KevDroidの分析を行うだけでなく、Bitcoin Ticker WidgetアプリケーションおよびPyeongChang Winter Gamesアプリケーションにおいて、以前の未知のトロイの木馬化されたバージョンの発見についても詳しく述べます。これらのバージョンは、このスパイウェア亜種のダウンローダーです。

 

背景

EST Securityによる投稿では、Naver (韓国大手の検索およびWebポータル サービス プロバイダ)製アンチウイルス アプリケーションを装うAndroidスパイウェアについて詳しく説明されていました。弊社は、同じサンプルを捕捉すると同時に、同じ亜種でさらに2つのバージョンを発見しました。1つはcgalim[.]comにつながっており、これはパロアルトネットワークスが非モバイル攻撃(付録のIOC参照)でReaperグループによる使用を既に観測していたドメインです。

アプリ名

アイコン

SHA256

Google Defender Update

06222141a684de8a0b6e5dc1f7a2b14603c98dbe404ad7605dc9eb9d903c3df8

Update

f33aedfe5ebc918f5489e1f8a9fe19b160f112726e7ac2687e429695723bca6a

表1:Reaperグループにつながる、元のAndroid スパイウェア亜種の検出済み追加サンプル

元の亜種のアーティファクトに注目することで、同じスパイウェアのより高度な亜種を見つけることができました。これについては、以下で詳しく述べます。また、2つの亜種のそれぞれのダウンローダーとしての役割を果たす2つのAndroidアプリケーションも発見しました。これについては、次項で述べます。

 

ダウンローダー

ReaperグループのAndroidスパイウェアの亜種を調査していくうちに、hxxp://cgalim.com/admin/hr/1[.]apkからアプリケーションをダウンロードしてインストールする機能を持つ、2つのアプリケーションを発見しました。また、Androidスパイウェアの高度な亜種を提供するURLが同じであることも観測し、これら2つのアプリケーションがReaperグループのAndroidスパイウェアのダウンローダーとしての役割を果たしていることを確認しました。この2つのアプリケーションは、Google Playストアで入手可能な一般的なアプリケーションをトロイの木馬化したバージョンです。トロイの木馬化されたバージョンは、Google Playには存在しません。

両方のダウンローダーともに同じURLに接続してペイロードをダウンロードしますが、コードを詳しく調べると、ReaperのAndroidスパイウェアの特定の1亜種をダウンロードしてドロップするようにそれぞれ作成されていることがわかります。

 

アプリ名

アイコン

SHA256

ドロップするペイロード

PyeongChang Winter Games

28c69801929f0472cef346880a295cdf4956023cd3d72a1b6e72238f5b033aca

新しい亜種

Bitcoin Ticker Widget

679d6ad1dd6d1078300e24cf5dbd17efea1141b0a619ff08b6cc8ff94cfbb27e

元の亜種

表2: Reaperグループにつながるスパイウェア亜種のドロップに使用されるAndroid ダウンローダー

両方のアプリケーションが、同じ証明書で署名されているので、同じ作成者によるものであることが確認できます。

Owner: CN=Jhon Phalccon, OU=Google Chrome, O=Google Chrome, L=Washington, ST=US, C=US
Issuer: CN=Jhon Phalccon, OU=Google Chrome, O=Google Chrome, L=Washington, ST=US, C=US
Serial number: 7b320fab
Valid from: Wed Jan 24 10:22:50 GMT 2018 until: Sun Jun 11 10:22:50 GMT 2045

これらのダウンローダーは、インストールされると、アプリケーションを更新するようにユーザーを促すメッセージを表示します。ユーザーがこのプロンプトに従うと、ダウンローダーはペイロードを取得して、外部デバイス メモリにAppName.apkという名前で保存します。このペイロードは、ロードされて、再度ユーザーにインストールを確認するように促すプロンプトを表示してから、最終的にデバイスにインストールされます。次のセクションでは、より新しく、より高度なこれらのペイロードの亜種について分析します。

高度な亜種の分析

この分析では、次のサンプルを使用しました。

アプリ名

アイコン

SHA256

PU

(空白)

990d278761f87274a427b348f09475f5da4f924aa80023bf8d2320d981fb3209

表3: Reaperグループにつながる、検出済みの新しいAndroid スパイウェア亜種

 

このサンプルには、以下の機能があります。

  • 動画を記録する(デフォルトの時間は10分間)
  • 音声を記録する(デフォルトの時間は5分間。48_d[TS].amrという名前で保存)
  • スクリーンショットをとる(96_d[TS].jpgという名前で保存)
  • 電話のファイル リストを取得する(128_d[TS].txtという名前で保存)
  • 特定のファイルをフェッチする
  • コマンドのリストをダウンロードする
  • デバイス情報の取得 - 64ビットAndroid ID、電話番号、システム プロパティなど(208_d[TS].jsonという名前で保存)
  • デバイスのルーティング(パッケージ アセットの「poc」というバイナリを使用)

    また、この高度な亜種には、以下の情報の漏出機能があります。

  • 着信および発信の通話音声記録(_p[Ph]_in_[D].amrまたは_p[Ph]_out_[D].amrという名前で保存)
  • 通話ログ(16_d[TS].jsonという名前で保存)
  • SMS履歴(32_d[TS].jsonという名前で保存)
  • 連絡先リスト(144_d[TS].jsonという名前で保存)
  • 電話の登録済みアカウントに関する情報(160_d[TS].jsonという名前で保存)

それぞれのケースで、[TS]はyyyyMMddkkmmssという形式の現在のタイムスタンプです。[Ph]は通話の発信元または宛先の電話番号で、[D]は通話時間です。

これらの漏出機能は元の亜種と共有されていますが、前の亜種が オープン ソース ライブラリを使用していたのに対して、この新しい亜種は独自の通話記録ライブラリを作成します。

漏出した情報は、電話の/sdcard/_puディレクトリに書き込まれ、hxxp://hakproperty.com/new/plat/pu[.]php?do=uploadに送信されます。

転送する前に、このファイルは、「08D03B0B6BE7FBCD」というキーを使用してAES暗号化されます。この暗号化スキームとキーは、2つの亜種で一貫しています。

 

暗号化後の、ファイルはサフィックス「x」を付けて名前変更されます。作成されたすべてのファイルは、アップロード サーバーに送信された後、削除されます。

 

コマンドのリストをフェッチするように命令を受けると、リストが以下からフェッチされます。

 

hxxp://hakproperty.com/new/plat/pu[.]php?do=download_rc&aid=" + [64-bit android_id]

 

結論

新しい攻撃ベクトルの出現、さらにそれに続く、冬季五輪など時節に応じたアプリケーションを装う新しい亜種の登場は、Reaperグループが活発に開発を進めており、活動範囲を拡大していることを示しています。

パロアルトネットワークスのお客様は、攻撃に対して以下の保護機能によって守られています。

1.     AutoFocusをご使用のお客様は、Reaperタグで、このグループの活動を調べることができます。

2.     WildFireは、悪意があると判断した、すべての関連サンプルを検出します。

3.     Trapsは、このグループに関連したすべての悪意のあるファイルをブロックします。

 

IOC

ReaperダウンローダーAPKのサンプル

28c69801929f0472cef346880a295cdf4956023cd3d72a1b6e72238f5b033aca

679d6ad1dd6d1078300e24cf5dbd17efea1141b0a619ff08b6cc8ff94cfbb27e

 

 

高度な亜種のサンプル

990d278761f87274a427b348f09475f5da4f924aa80023bf8d2320d981fb3209

 

 

cgalim[.]comを利用する非APK Reaper関連のサンプル

0de087ffb95c88a65e83bd99631d73d0176220e8b740785de78d2d79294f2303

6b1f2dfe805fa0e27139c5a4840042599262dbbf4511a118d3fba3d4ec35f2d7

86887ce368d9a3e7fdf9aa62418cd68daeea62269d17afb059ab64201047e378

d29895aa3f515ec9e345b05882ee02033f75745b15348030803f82372e83277a

d5de09cc5d395919d2d2000f79326a6997f4ec079879b11b05c4d1a1a847ed00

 


 

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 8760

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 4309

PA-220

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー コントロール、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジーの開発が行えるよう分類します。
  • 0
  • 2997

2018 年のセキュリティ脅威予測とベストプラクティス

2017年のセキュリティの振り返りに引き続き、パロアルトネットワークスが2017年までの傾向から見る、2018年の主なセキュリティ脅威予測とベストプラクティスについて紹介します。
Palo Alto Networks,
  • 0
  • 1138

EncodedCommandによるPowerShell攻撃を暴く

PowerShellは過去数年間で人気を獲得し続けていますが、それはこのフレームワークが発達し続けているからです。したがって、PowerShellを多くの攻撃で見かけるようになっていても少しも驚くことではありません。PowerShellはシステム上の広範囲にわたる機能を攻撃者にネイティブなものとして提供します。有害なPowerShellツールが溢れかえっている現状をざっと見渡してみると、PowerShellの伸びを示す十分な兆候が見て取れます。
  • 0
  • 2080