中東軍事関係者450人超、Android監視マルウェア「GuardZoo」の餌食に

中東軍事関係者450人超、Android監視マルウェア「GuardZoo」の餌食に - innovaTopia - (イノベトピア)

Last Updated on 2024-07-10 08:01 by admin

中東の軍事関係者450人以上が、Androidデータ収集ツール「GuardZoo」を配布する監視ウェア作戦の標的となっています。

このキャンペーンは、2019年10月以降に開始されたと考えられ、Houthiに関連する脅威アクターによるものと特定されました。この特定は、アプリケーションの誘引、コマンドアンドコントロール(C2)サーバーのログ、標的の範囲、および攻撃インフラの位置に基づいています。

エジプト、オマーン、カタール、サウジアラビア、トルコ、U.A.E.、イエメンに位置する被害者がこの悪意のある活動の影響を受けています。ほとんどの感染がイエメンで記録されています。

GuardZooは、2014年3月にBroadcom傘下のSymantecによって最初に発見されたAndroidリモートアクセストロイの木馬(RAT)「Dendroid RAT」の改変版です。

この犯罪ソフトウェアのソースコード全体が後に2014年8月に流出しました。元々は一回限りの価格300ドルで市販されていたマルウェアであり、電話をかける、通話ログを削除する、ウェブページを開く、音声や通話を録音する、SMSメッセージにアクセスする、写真やビデオを撮影してアップロードする、HTTPフラッド攻撃を開始するなどの機能があります。

しかし、新しい機能を追加し、使用されない機能を削除するために、コードベースに多くの変更が加えられました。GuardZooは、Dendroid RATのリークされたPHPウェブパネルを使用せず、ASP.NETで作成された新しいC2バックエンドを使用しています。

GuardZooの配布にはWhatsAppとWhatsApp Businessが利用され、初期感染は直接ブラウザダウンロードを通じても行われます。軍事および宗教的なテーマを持つアプリケーションがユーザーを誘引するために使用されます。

マルウェアの更新版は60以上のコマンドをサポートし、追加のペイロードを取得、ファイルやAPKをダウンロード、ファイル(PDF、DOC、DOCX、XLX、XLSX、PPT)や画像をアップロード、C2アドレスを変更、自身を終了、更新、またはデバイスから削除することができます。

GuardZooは、2019年10月以降、C2オペレーションに同じダイナミックDNSドメインを使用しており、これらのドメインはYemenNetに登録されたIPアドレスに定期的に解決されます。

【編集者追記】用語解説

  • RAT(Remote Access Trojan)
    遠隔操作型トロイの木馬の略称です。攻撃者がターゲットのデバイスを密かに遠隔操作できるようにする悪意のあるソフトウェアです。
  • C2(Command and Control)サーバー
    マルウェアを遠隔操作するために攻撃者が使用するサーバーです。感染したデバイスはこのサーバーと通信し、指示を受け取ります。
  • APK(Android Package Kit)
    Androidアプリケーションのインストールパッケージファイルの形式です。

【参考リンク】
Lookout(ルックアウト)オフィシャルサイト(外部)

【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む

【ニュース解説】

中東の軍事関係者450人以上が、Androidデバイスを狙った監視型マルウェア「GuardZoo」の標的になっていることが明らかになりました。このキャンペーンは、2019年10月以降に開始されたとされ、Houthiに関連する脅威アクターによるものと特定されています。エジプト、オマーン、カタール、サウジアラビア、トルコ、U.A.E.、イエメンなど、複数の国々の軍事関係者がこの攻撃の影響を受けています。

GuardZooは、以前に発見されたAndroid用リモートアクセストロイの木馬「Dendroid RAT」の改変版であり、電話をかける、通話ログを削除する、ウェブページを開く、音声や通話を録音する、SMSメッセージにアクセスする、写真やビデオを撮影してアップロードする、HTTPフラッド攻撃を開始するなどの機能を持っています。しかし、GuardZooではこれらの機能に加え、新しい機能が追加され、使用されない機能が削除されています。また、コマンドアンドコントロール(C2)サーバーとの通信には、リークされたPHPウェブパネルではなく、ASP.NETで作成された新しいバックエンドが使用されています。

このマルウェアの配布には、WhatsAppとWhatsApp Businessが利用されており、軍事や宗教をテーマにしたアプリケーションを通じてユーザーを誘引しています。更新版のマルウェアは60以上のコマンドをサポートし、追加のペイロードの取得、ファイルやAPKのダウンロード、ファイルや画像のアップロード、C2アドレスの変更、デバイスからの自身の終了、更新、削除が可能です。

このキャンペーンの影響は、特にセキュリティ意識の高い軍事関係者にとって深刻です。個人情報の窃取はもちろん、軍事機密に関する情報が漏洩するリスクがあります。また、このような監視型マルウェアの存在は、国家間の緊張を高める可能性があり、サイバーセキュリティの観点からも国際的な対応が求められる事態です。

この事例は、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、国家安全保障に関わる人物や組織は、定期的なセキュリティチェックと教育を徹底し、未知のアプリケーションのダウンロードを避けるなど、基本的なセキュリティ対策を厳守する必要があります。また、このような攻撃を未然に防ぐためには、国際的な協力と情報共有が不可欠であり、サイバーセキュリティの強化が今後も続く課題であることが示されています。

from GuardZoo Malware Targets Over 450 Middle Eastern Military Personnel.

SNSに投稿する

author avatar
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 中東軍事関係者450人超、Android監視マルウェア「GuardZoo」の餌食に

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です