APTハッカー、Android向け偽チャットアプリを使ってSignalやWhatsApp利用者のデータを窃取
APTハッキンググループ「Bahamut」と思われるアクターが、偽のAndroidアプリ「SafeChat」を使って南アジアの標的のデバイスをスパイウェアに感染させ、通話記録やテキストメッセージ、GPS位置情報などを盗み取ろうとしているという。CYFIRMAが詳しい分析結果を報告した。
ダミーアプリ「SafeChat」
CYFIRMAによると、キャンペーンで投下されるAndroidスパイウェアは「Coverlm」というマルウェアの亜種だと考えられており、チャットアプリに見せかけて実はダミーの「SafeChat」に潜んでいるという。SafeChatは被害者を騙しやすくするため、まるで実在するアプリのようなインターフェースを有している。
これに騙されたユーザーがSafeChatアプリを開くと、バックグラウンドでの起動を許可する権限など、さまざまな権限をアプリに与えるよう求めるポップアップが複数表示される。これらのポップアップに従って「許可」をクリックしていくと、スパイウェアはC2との接続を行えるようになるほか、ユーザーの連絡先リストやSMS、通話ログ、外部ストレージへアクセスできるようになり、また正確なGPS位置情報も入手できるようになるという。
Bahamut APTとは?
Bahamutはサイバースパイ活動を専門に行うグループで、主な標的は中東や南アジアの企業や個人。ESETによれば、これに加え、さまざまなクライアントに「雇われハッキングサービス」を提供する一面もあるとされる。CYFIRMAは過去のレポートで「Bahamutはイランの国家支援型APT脅威グループ」だと述べていたが、今回のSafeChatを使ったキャンペーンにおいては、同グループがインドのある州政府のためにこの活動を行っていることを示す証拠が見つかっているという。また、Bahamutがインドの国家支援型脅威グループ「DoNot APT」(APT-C-35)のものと似たTTPをいくつか使用していたことから、CYFIRMAは両グループが重複するグループであるか、もしくは密接な協力関係にある可能性が高いとみているとのこと。
(情報源:Bleeping Computer “Hackers steal Signal, WhatsApp user data with fake Android chat app”、CYFIRMA ”APT Bahamut Targets Individuals with Android Malware Using Spear Messaging”)
8月1日:その他の注目ニュース
キヤノン、インクジェットプリンター廃棄時のWi-Fiセキュリティリスクを警告
Bleeping Computer – July 31, 2023
キヤノンは家庭用/オフィス用プリンターおよび大判インクジェットプリンターのユーザーに対し、デバイスの初期化時にメモリー内に保存されたWi-Fi接続設定が消去されず、他人がデータにアクセスできる可能性があることについて注意喚起している。
キヤノン製プリンターに保存される具体的な情報は、モデルや構成によって異なるが、一般的にはネットワークSSID、パスワード、ネットワークタイプ(WPA3、WEPなど)、割り当てられたIPアドレス、MACアドレス、ネットワークプロファイルが含まれる。
この機微なWi-Fi接続情報を利用してプリンター利用者のネットワークに不正アクセスした攻撃者は、そこから共有リソースにアクセスしたり、データを盗んだり、追加の脆弱性を活用して他のプライバシー侵害攻撃を仕掛けたりすることができる。
この問題の影響を受けるキヤノン製プリンターモデルの数は膨大で、E、G、GX、iB、iP、MB、MG、MX、PRO、TR、TSおよびXKシリーズの196機種のインクジェット、ビジネスインクジェット、大判インクジェットプリンターが該当する(同ベンダーは、このデータ保持問題が自身のプリンターモデルに影響を及ぼすかどうかをユーザーが確認できるよう、別の文書内で全機種を列挙している)。また、影響を受けるプリンターの所有者に対し、デバイスを修理する場合や他人に譲渡/販売するなどの場合は、サードパーティーがプリンターにアクセスする前にまずWi-FI設定を消去するよう勧めている。
セネガル政府がモバイルインターネットを遮断、野党指導者の逮捕後
セネガル政府は月曜(7月31日)、全国でモバイルインターネットを遮断した。これは、金曜(28日)に野党指導者ウスマン・ソンコ氏が逮捕されたことに関連する措置だとみられる。セネガル情報通信省もモバイルインターネットを一時的に停止していることを認めており、今回の措置が実施されたのは「公共秩序を乱す恐れのある憎悪的で破壊的なメッセージがソーシャルネットワーク上で拡散されたため」だとした。
ソンコ氏は、セネガルの若者の間で広く尊敬されている政治家。今回の逮捕とは別にいくつかの罪状で告発されており、6月には2年間の拘禁刑を言い渡されていた。ただ、支持者らはこうした容疑は政治的動機によりでっち上げられたものだと考えており、6月の判決時には人々による抗議活動が勃発した。セネガル政府はこの際にも対処のためにモバイルインターネットを遮断していたとされる。
新たなP2PInfectワームマルウェアが、文書化されていない侵害手法でRedisサーバーを標的に
The Hacker News – Jul 31, 2023
ピアツーピア(P2)ワームマルウェアであるP2PInfectが、これまで文書化されていなかった初期アクセス手法を用いて、影響を受けやすいRedisサーバーに侵入し、ボットネットに組み込むことが観測されている。クラウド環境のRedisに対する一般的な攻撃パターンは、悪意のあるインスタンスを使用してSLAVEOFコマンドを発行することで、レプリケーション機能を有効にするというもの。このキャンペーンは2023年6月29日以降に開始されたと考えられている。
このRustベースのマルウェアは、Palo Alto Networks Unit 42によって最初に文書化されていて、Redisインスタンスに侵入する足がかりを得るために、Luaサンドボックス回避の重大な脆弱性(CVE-2022-0543、CVSSスコア:10.0)を悪用する能力があることが指摘されていた。しかし最新の発見からは、このキャンペーンの背後にいる脅威アクターが、初期アクセスに複数のエクスプロイトを利用していることが窺える。なお、SLAVEOFコマンドを使用するものに加え、Redisホスト上に悪意のあるcronジョブを登録して実行時にリモートサーバーからP2PInfectをダウンロードするという初期アクセスベクターも新たに明らかになっている。