文章总结: ESET研究团队披露朝鲜APT37组织通过入侵延边游戏平台sqgame发起跨平台供应链攻击,投放Windows/Android双平台BirdCall后门。Android版后门首次曝光,具备文件窃取、通话记录收集、定时录音等间谍功能,利用Zoho云服务通信。攻击针对延边朝鲜族人群进行定向监控,建议用户避免非官方渠道下载应用并检查应用权限。 综合评分: 87 文章分类: 供应链安全,恶意软件,威胁情报,移动安全,漏洞预警
、通话记录(T1636.002)、短信(T1636.004)。</p>
<p>环境监测与录音:可进行屏幕截图,部分版本使用循环播放无声MP3文件的前台服务,防止后台挂起(T1541)。可启用麦克风录音(T1429),且被限制在晚间19:00至22:00的特定三小时时段内自动执行,高度贴合目标夜间私人生活作息。</p>
<p>设备信息收集:首运行时收集设备完整目录列表与用户数据,随后定期上传电池温度、内存与存储信息、品牌型号、系统版本、内核信息、Root状态、IMEI、IP与MAC地址(T1426, T1422),并通过ipinfo.io服务获取设备IP地理位置近似信息(T1430)。</p>
<p>命令与控制——寄生合法云服务</p>
<p>BirdCall双版本的C&C通信均寄生在合法云存储服务上,实现数据双向交互(T1102.002)。</p>
<p>Android端: 仅使用Zoho WorkDrive。ESET识别出攻击者注册的12个独立账户,使用如[email protected]、[email protected]等伪装性极强的英文姓名组合邮箱。</p>
<p>Windows端: 使用Dropbox、pCloud以及入侵的普通网站。</p>
<p>配置与流量隐匿: Android后门初始化时,可从被入侵的韩国合法网站托管的JPG图片叠加层中解密提取加密的云存储配置,从而动态切换C&C。攻击者大规模入侵韩国网站(如1980food.co.kr、inodea.com、lawwell.co.kr等)作为中间载荷寄存与配置分发服务器。</p>
<p>受害者与地缘政治动机</p>
<p>此次行动的受害目标极具针对性,攻击完全聚焦于与延边地区高度关联的人群。延边是中国境内最大的朝鲜族聚居区,同时也是朝鲜逃难者与脱北者的过境通道。ScarCruft通过劫持一个提供朝鲜族传统棋牌游戏的特定文化平台,实现针对该族裔人群的精准“定向感染”。其动机被ESET评估为对延边地区或源自该地的、被朝鲜当局视为关注对象的个人(尤其是难民或脱北者)进行长期情报搜集与监视。</p>
<p>参考资源</p>
<p>1、https://www.bleepingcomputer.com/news/security/scarcruft-hackers-push-birdcall-android-malware-via-game-platform/</p>
<p>2、https://www.welivesecurity.com/en/eset-research/rigged-game-scarcruft-compromises-gaming-platform-supply-chain-attack/</p>
<hr />
<p><strong>免责声明:</strong></p>
<blockquote>
<p>本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。</p>
<p>任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。</p>
<p>本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的<strong>联系我</strong>。</p>
</blockquote>
<p>本文转载自:网空闲话plus 网空闲话
网空闲话《朝鲜APT37利用游戏平台发起跨平台供应链攻击,Android版BirdCall后门首度曝光》</p> </div>
<div class=)
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论