朝鲜威胁组织 ScarCruft 利用 KoSpy 恶意软件监控安卓用户

据报道，朝鲜与朝鲜有关的威胁威胁组织ScarCruft开发了一种名为 KoSpy的安卓监控工具 ，专门针对韩语和英语用户 。组织这是用K用户迄今未被发现的恶意软件 。

KoSpy的恶意功能与传播途径

网络安全公司Lookout披露了这一恶意软件活动的详细信息
，称其最早版本可追溯到2022年3月 ，软件最新的监控样本则在2024年3月被发现
。目前尚不清楚此次攻击的安卓成功率如何。

Lookout在分析报告中指出：“KoSpy能够通过动态加载的建站模板朝鲜插件收集大量数据，包括短信、威胁通话记录、组织位置、用K用户文件、恶意音频和截图
。软件”这些恶意软件伪装成Google Play商店中的监控实用工具应用，使用了诸如“文件管理器”“手机管理器”“智能管理器”“软件更新工具”和“Kakao安全”等名称 ，诱骗用户下载并感染其设备 。

所有被识别的应用都能提供承诺的功能，以避免引起怀疑 ，同时暗中在后台部署间谍软件相关组件
。目前，亿华云这些应用已从应用商店中下架。

ScarCruft的背景与演变

ScarCruft ，也称为APT27和Reaper
，是自2012年以来活跃的朝鲜国家支持的网络间谍组织 。该组织发起的攻击链主要利用RokRAT从Windows系统中收集敏感数据。随后 ，RokRAT被改编用于针对macOS和安卓系统。

安装后的恶意安卓应用会联系Firebase Firestore云数据库，以检索包含实际命令与控制（C2）服务器地址的配置。云计算通过使用Firestore等合法服务作为中转解析器，这种分阶段的C2方法提供了灵活性和弹性，使威胁行为者能够随时更改C2地址并保持隐蔽。

攻击策略与设备验证

Lookout表示：“在检索C2地址后，KoSpy会确保设备不是模拟器，并且当前日期已晚于硬编码的激活日期。”这种激活日期检查确保了间谍软件不会过早暴露其恶意意图。

KoSpy能够下载额外的插件和配置以实现其监控目标 。由于C2服务器不再活跃或未响应客户端请求，插件的具体性质尚不明确。

KoSpy的模板下载数据收集范围

该恶意软件旨在从受感染的设备中收集广泛的数据，包括短信、通话记录 、设备位置、本地存储中的文件 、截图 、击键记录、Wi-Fi网络信息以及已安装应用程序的列表。它还具备录音和拍照功能。

攻击组织间的关联

Lookout表示，KoSpy活动的高防服务器基础设施与另一个朝鲜黑客组织Kimsuky（又名APT43）此前发起的攻击存在重叠。

npm包中的恶意软件

此次披露的同时，Socket发现了一组六个npm包，旨在部署一款名为BeaverTail的已知信息窃取恶意软件  。该软件与朝鲜名为Contagious Interview的持续活动有关。以下是已被删除的软件包列表：

is-buffer-validatoryoojae-validatorevent-handle-packagearray-empty-validatorreact-event-dependencyauth-validator恶意软件的目标与策略

这些软件包旨在收集系统环境详细信息，以及存储在Google Chrome、Brave和Mozilla Firefox等浏览器中的源码下载凭证 。它还针对加密货币钱包
，提取Solana的id.json和Exodus的exodus.wallet 。

Socket研究员Kirill Boychenko表示 ：“这六个新包共被下载超过330次，它们密切模仿广泛受信任库的名称 ，采用了与Lazarus相关的威胁行为者常用的拼写错误（typosquatting）策略来欺骗开发人员  。”

朝鲜活动的扩展

此外 ，还发现了一项新活动
，利用名为RustDoor（又名ThiefBucket）的基于Rust的macOS恶意软件和此前未记录的Koi Stealer家族变种针对加密货币行业。

攻击链与目标

Palo Alto Networks Unit 42表示 ，攻击者的特征与Contagious Interview相似
，并以中等信心评估认为该活动是代表朝鲜政权进行的
。

攻击的最终阶段

感染的最终阶段涉及检索并执行另一个有效载荷 
，即冒充Visual Studio的macOS版Koi Stealer 。这诱骗受害者输入系统密码 ，从而允许其从设备中收集并外泄数据 。

安全风险与警示

安全研究人员Adva Gabay和Daniel Frank表示：“此次活动突显了全球组织面临的风险，这些风险来自旨在渗透网络并窃取敏感数据和加密货币的精心设计的社会工程攻击。”