朝鲜APT组织ScarCruft使用新型Android间谍软件KoSpy

与朝鲜有关的威胁组织ScarCruft（又名APT37、Reaper和Group123）近期被曝光使用了一款名为KoSpy的Android监控工具，该工具主要用于针对韩语和英语用户。ScarCruft自2012年以来一直活跃，曾在2018年2月初因利用Adobe Flash Player的零日漏洞向南韩用户传播恶意软件而登上头条。

卡巴斯基在2016年首次记录了该组织的活动。APT37组织的网络攻击主要针对韩国的政府、国防、军事和媒体机构。Lookout研究人员以中等置信度将此间谍软件归因于ScarCruft组织，并指出该威胁是一个相对较新的恶意软件家族，最早样本可追溯至2022年3月。最新样本由网络安全公司于2024年3月检测到。

KoSpy的传播方式和功能

研究人员在报告中指出：“KoSpy通过伪装成实用应用程序（如‘文件管理器’‘软件更新工具’和‘Kakao安全’）来感染设备。”该间谍软件利用Google Play商店和Firebase Firestore分发应用程序并接收配置数据。报告提到，所有相关应用已从Google Play下架，Google也停用了相关的Firebase项目。

KoSpy通过插件收集短信、通话、位置、文件、音频和屏幕截图。间谍软件伪装成五个不同的应用程序：휴대폰 관리자（电话管理器）、文件管理器、스마트 관리자（智能管理器）、카카오 보안（Kakao安全）和软件更新工具。

专家发现，这些应用程序主要伪装成具有基本功能的实用工具，但Kakao安全则通过虚假的权限请求欺骗用户。在激活前，KoSpy会检查是否在虚拟环境中运行，并确认当前日期是否超过硬编码的激活日期，以避免被分析和检测。

执行后，间谍软件从Firebase Firestore获取加密配置，控制激活和C2服务器地址。这种设置使攻击者能够启用、禁用或更改服务器，以提高隐蔽性和弹性。

KoSpy的技术细节与基础设施

KoSpy通过两种请求类型与其C2服务器通信：一种用于下载插件，另一种用于获取监控配置。配置请求以加密JSON形式发送，控制C2 ping频率、插件URL和受害者消息等参数。间谍软件通过硬件指纹为每个受害者生成唯一的ID，并使用AES加密将数据传输到多个Firebase项目和C2服务器以进一步利用。

Lookout研究人员发现了KoSpy与朝鲜威胁组织APT43和APT37之间的联系。其中一个C2域st0746[.]net链接到韩国的一个IP地址，该地址此前与恶意韩国相关域名有关，包括naverfiles[.]com和mailcorp[.]center（与APT37使用的Konni恶意软件相关）以及nidlogon[.]com（APT43基础设施的一部分）。共享基础设施表明，KoSpy可能是针对韩国用户的更大规模网络间谍行动的一部分。

报告总结道：“除了与APT37的联系外，此次KoSpy活动还与APT43使用的基础设施有关。朝鲜威胁行为者以共享基础设施、目标和战术为特征，这使得归因于特定行为者更加困难。基于上述共享基础设施、共同目标和最近的连接，Lookout研究人员以中等置信度将此KoSpy活动归因于APT37。”

参考来源：

North Korea-linked APT group ScarCruft spotted using new Android spyware KoSpy

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）