インドのビジネス iPhone ユーザーが、偽のモバイル デバイス管理 (MDM) サーバーを介した高度な攻撃の標的になりました。
物理的なアクセス、あるいはおそらくソーシャルエンジニアリングの手口を用いて、2つの怪しいMDMサーバーから選ばれた証明書が標的のiPhoneにインストールされた。セキュリティ研究者によると、これによりハッカーが管理するMDMに管理者権限が与えられ、WhatsApp、Telegramなどの偽アプリがダウンロードされたという。
登録されたスマートフォンを通じて送信された電子メール、SMS、その他のメッセージを含むデータは、その後、ハッカーの管理下にあるシステムにアップロードされました。
攻撃者はオープンソースの MDM を設定し、これを使用して Telegram や WhatsApp などの安全なチャット アプリケーションに悪意のあるコードを展開し、密かにメッセージ/チャットや写真を取得しました。
Cisco Talos のブログ投稿で説明されているように、偽造アプリによってハッカーは侵入したスマートフォンの位置を追跡することも可能になった。
攻撃者はBOptionsサイドローディング手法を用いて、WhatsAppやTelegramなどのメッセージングアプリを含む正規アプリに機能を追加し、MDMによってインドの標的デバイス13台に展開しました。BOptionsサイドローディング手法の目的は、アプリケーションに動的ライブラリを挿入することです。これらのアプリに埋め込まれた悪意のあるコードは、電話番号、シリアル番号、位置情報、連絡先、ユーザーの写真、SMS、Telegram、WhatsAppのチャットメッセージなど、デバイスから情報を収集・抽出する機能を備えています。これらの情報は、被害者を操ったり、脅迫や賄賂に利用したりするために使用される可能性があります。
Cisco Talos によると、ミラノを拠点とする法執行機関向けスヌープウェア供給業者 HackingTeam は以前にも同じ手法を使用しているが、そのことを示す証拠はなく、インドで登録された携帯電話を使用していることやその他の要素から、攻撃者は地元の人物であることが示唆されているという。
攻撃者は mail.ru のメールを使用してロシアのハッカーを模倣しようとしましたが、Cisco Talos はインドの電話番号で MDM に登録され、インドのプロバイダーに登録されたテストデバイスを発見しました。
脅威インテリジェンスチームは、この脅威に対抗するためAppleと緊密に協力してきました。Cisco Talosが介入する以前から、Appleは既にハッキンググループに関連する3つのデジタル証明書を削除していました。さらに2つのデジタル証明書も、その後まもなく失効しました。
MDM サーバーとマルウェアのコマンド アンド コントロール (C2) サーバーに残されたファイルのログ分析により、悪意のあるコードが 2015 年 8 月から実行されていたことが明らかになりました。
インドのiPhoneユーザーを狙った高度に標的を絞った攻撃の分析出典: Cisco Talos
MDM は、システム管理者が企業のスマートフォンで実行されるセットアップやアプリを制御したり、盗難や紛失の際にデバイスをロックしたりできるように設計された、エンタープライズ向けのテクノロジーです。
Cisco Talos は次のように警告している。「MDM 証明書を受け入れるということは、自分のデバイスやパスワードなどへの管理者アクセスを誰かに許可するのと同じであることをユーザーは認識する必要があります。セキュリティ上の問題を回避するために、これは細心の注意を払って行う必要があり、一般の家庭ユーザーが行うべきことではありません。」
「ソーシャルエンジニアリングを利用してデバイスを入手する可能性が高いことは、ユーザーが迷惑リンクをクリックする際には注意し、デバイスへのアクセス要求の身元と正当性を確認する必要があることを改めて認識させるものだ」と付け加えた。
3年間にわたり、攻撃者は検知されずにいました。これはおそらく、侵入されたデバイスの数が少なかったためでしょう。現時点では、キャンペーンの標的が誰であったかは不明であり、ましてや攻撃の実行者やその目的は不明です。®
