朝鲜 APT37 的新间谍软件
朝鲜 APT37 的新间谍软件
KoSpy 是一款由朝鲜黑客组织 APT37 开发的新型 Android 间谍软件,它伪装成实用工具类应用,主要瞄准韩语和英语用户。该软件于 2022 年 3 月首次被察觉,至今仍在活跃,新样本仍在公开托管。KoSpy 运用两阶段 C2 架构,从 Firebase 云数据库获取初始配置,能通过动态加载插件收集短信、通话记录、位置、文件、音频、屏幕截图等大量数据。它支持韩语,样本广泛散布于 Google Play 和 Apkpure 等第三方应用商店。并且,有证据表明 APT37 的基础设施与另一个臭名昭著的朝鲜国家支持组织 APT43(也叫 Kimsuky)存在共享情况。
Lookout Threat Lab 的研究人员发现了一款名为 KoSpy 的新型 Android 监视工具,其目标似乎锁定为韩语和英语用户。这款间谍软件被合理推断与朝鲜 APT 组织 ScarCruft(又称 APT37)相关,属于相对较新的恶意软件家族,早期样本可追溯至 2022 年 3 月,最近的样本则在 2024 年 3 月获取。据观察,KoSpy 通过伪装成诸如 “文件管理器”“软件更新实用程序”“Kakao 安全” 等虚假实用程序诱饵来感染设备,并借助 Google Play 商店和 Firebase Firestore 分发应用程序以及接收配置数据。不过,报告中涉及的所有应用程序已从 Google Play 移除,相关的 Firebase 项目也被 Google 停用。ScarCruft 是一个受朝鲜政府支持的网络间谍组织,自 2012 年起便活跃于网络,主要针对韩国,同时也在日本、越南、俄罗斯、尼泊尔、中国、印度、罗马尼亚、科威特及多个中东国家展开活动 。
在 Lookout 的语料库中,KoSpy 样本伪装成了五种不同类型的应用程序,分别为:“휴대폰 관리자”(手机管理器)、“文件管理器”、“스마트 관리자”(智能管理器)、“카카오 보안”(Kakao 安全)以及 “软件更新实用程序”。这些带有实用程序诱饵的样本具备基础界面,能够打开手机内部相关的设置视图。比如,“软件更新实用程序” 会直接跳转到系统设置中的软件更新屏幕;“文件管理器” 应用程序除了作为简易文件浏览器使用外,还具备一些额外功能。而 “Kakao 安全” 应用程序则没有任何实际的实用功能,只会显示虚假的系统窗口,并索要多项权限 。
在看似普通的基础界面背后,KoSpy 有着一套精心设计的运作流程。首先,它会从 Firebase Firestore 获取一份简单配置,随后便启动间谍软件功能。这份经过加密的配置包含两个关键参数:一个用于控制软件开启或关闭的 “开”/“关” 开关,以及命令与控制(C2)服务器的地址。这种采用两阶段的 C2 管理方式,为威胁行为者赋予了极大的灵活性与弹性。一旦 C2 服务器被检测到或者遭到阻止,他们能够随时启用或禁用间谍软件,同时还能更改 C2 地址,以此躲避追踪。
在成功检索到 C2 地址后,KoSpy 会进一步对设备进行检测,确保其并非模拟器,同时检查当前日期是否已超过硬编码设定的激活日期。设置这一激活日期检查机制,是为了确保间谍软件不会过早暴露其恶意目的,从而提高自身隐匿性 。
C2 通信和基础设施
KoSpy 会向 C2 地址发送两类不同请求。一类用于下载插件,另一类用于检索监视功能的配置信息。针对插件的请求,理应接收到经过加密的压缩二进制文件,不过,由于在分析期间并没有处于活动状态的 C2 服务器,所以这一点暂无法得到确认。配置请求则设定为接收 JSON 文档,该文档对以下设置进行配置:C2 服务器的 ping 频率、以韩语和英语呈现给用户的消息内容、用于下载插件的 URL 地址,以及需要动态加载的类名 。
如上图所示,为 “conf” 请求的一个示例。此请求采用 HTTP POST 方式,其有效负载为 JSON 格式。在该 JSON 中,值经过加密并进行 Base64 编码处理,而字段名称则以明文形式呈现。其中,“vtr” 字段包含依据硬件指纹与 Android ID 生成的唯一受害者标识。“type” 字段取值可为 “conf” 或 “code”,以此明确 C2 请求的具体类型。“pref” 字段属于复合字段,涵盖了软件包名称、应用程序版本、设备语言、硬件详情以及已启用权限列表等多方面信息。
KoSpy 能够借助动态加载的插件,在受害者设备上收集大量敏感信息,其涵盖的功能如下:
- 收集短信内容;
- 收集通话记录;
- 检索设备位置信息;
- 访问本地存储中的文件与文件夹;
- 利用相机进行音频录制和拍照;
- 在设备使用过程中截取屏幕截图或录制屏幕画面;
- 滥用无障碍服务来记录按键操作;
- 收集 WiFi 网络详细信息;
- 编译已安装应用程序的列表。
收集到的数据在利用硬编码的 AES 密钥加密后,会被发送至 C2 服务器。Lookout 研究人员在分析现有 KoSpy 样本时,观测到五个不同的 Firebase 项目以及五个不同的 C2 服务器,相关信息可在入侵指标部分查看。
定位和分发
Lookout 的研究人员判断,KoSpy 此次攻击活动将目标锁定为韩语和英语用户。在相关应用程序中,超过半数使用韩语标题,且其用户界面支持英语和韩语两种语言。当设备语言设置为韩语时,应用程序内的消息及文本字段会以韩语呈现;若设备语言并非韩语,则会以英语显示。
KoSpy 的部分样本此前可从 Google Play Store 以及第三方应用商店 Apkpure 下载,不过目前 Google Play Store 上已没有与之相关的应用程序公开可供下载。从文件管理器应用程序(com.file.exploer)在 Play Store 列表第 1 页的缓存快照可见,该应用曾有一段时间处于公开可下载状态,且下载次数超十次。快照信息表明,其开发者帐户名为 “Android Utility Developer”,联系电子邮件地址为 mlyqwl@gmail [.] com,相关隐私政策页面设置为https[:]//goldensnakeblog[.]blogspot[.] com/2023/02/privacy-policy.html ,列表中还嵌入了一个用于推广该应用的 Youtube 视频,该视频上传至 @filemanager - android 频道,此频道内还包含一个 Youtube Shorts 视频 。
归因
此次 KoSpy 活动与此前朝鲜的两个威胁组织 APT43 和 APT37 所开展的恶意活动存在关联。KoSpy 的 C2 域名之一 st0746 [.] net,解析出的 IP 地址为 27.255.79 [.] 225,该地址位于韩国。值得注意的是,此 IP 地址在过去曾与诸多可能和韩国相关的恶意域名有所牵连 。
KoSpy 的 C2 域通过共享基础设施与可疑域紧密绑定。例如,曾有报道指出,域名 naverfiles [.] com 和 mailcorp [.] center 参与了利用 Konni 桌面恶意软件针对韩国用户的攻击,而 Konni 是一个与 APT37 威胁行为者相关的 Windows RAT 家族。此外,与 KoSpy C2 域同一 IP 地址绑定的另一个域名 nidlogon [.] com,据报道是微软 Thallium(即 Kimsuky,也被称为 APT43)的命令和控制基础设施的一部分。这表明,除了与 APT37 存在联系外,此次 KoSpy 活动还关联到另一个朝鲜黑客组织 APT43 所使用的基础设施。朝鲜威胁行为者往往拥有重叠的基础设施、目标以及战术、技术和程序(TTP),这极大地增加了将恶意活动准确归因于特定行为者的难度。不过,基于上述 KoSpy 活动所展现出的共享基础设施、共同目标以及连接的新近性等因素,Lookout 研究人员以中等可信度将此次 KoSpy 活动归因于 APT37。
IOC
911d9f05e1c57a745cb0c669f3e1b67ac4a08601
cd62a9ab320b4f6be49be11c9b1d2d5519cc4860
2d1537e92878a3a14b5b3f55b32c91b099513ae0
f08f036a0c79a53f6b0c9ad84fb6eac1ac79c168
df39ab90c89aa77a92295721688b18e7f1fdb38d
ea6d12e4a465a7a44cbad12659ade8a4999d64d1
1cc97e490b5f8a582b6b03bdba58cb5f1a389e78
1a167b65be75fd0651bbda072c856628973a3c1e
985fd1f74eb617b1fea17095f9e991dcaceec170
744e5181e76c68b8b23a19b939942de9e1db1daa
062a869caac496d0182decfadc57a23057caa4ab
b84604cad2f3a80fb50415aa069cce7af381e249
3278324744e14ddf4f4312d375f82b31026f51b5
5639fa1fa389ed32f8a8d1ebada8bbbe03ac5171C2
joinupvts[.]org
resolveissue[.]org
crowdon[.]info
st0746[.]net腾讯云开发者
