Исследователи ESET раскрыли мультиплатформенную атаку на цепочку поставок, организованную связанной с Северной Кореей APT-группой ScarCruft, направленную на регион Яньбянь в Китае — место проживания этнических корейцев и переходный пункт для северокорейских беженцев и перебежчиков. В ходе атаки, вероятно продолжающейся с конца 2024 года, ScarCruft скомпрометировала Windows- и Android-компоненты игровой платформы, посвященной играм на тему Яньбяня, заразив их трояном с бэкдором.
Бэкдор, получивший от ESET название BirdCall, изначально, как было известно, нацеливался только на Windows; версия для Android была обнаружена в рамках этой атаки на цепочку поставок. В этом блоге мы представляем обзор атаки и первый публичный анализ бэкдора для Android.
Ключевые моменты этой статьи:
- Группа APT ScarCruft, связанная с Северной Кореей, взломала игровую платформу, используемую этническими корейцами, проживающими в регионе Яньбянь в Китае.
- Windows-клиент игровой платформы был взломан с помощью вредоносного обновления, которое привело к установке бэкдора RokRAT, который в свою очередь развернул более сложный бэкдор BirdCall.
- Игры для Android, доступные на игровой платформе, были заражены трояном, содержащим Android-версию бэкдора BirdCall — нового инструмента в арсенале ScarCruft.
- Целью кампании является шпионаж: бэкдор способен собирать личные данные и документы, делать скриншоты и записывать голос.
Профиль ScarCruft
Группа ScarCruft, также известная как APT37 или Reaper, действует по крайней мере с 2012 года и, как предполагается, является северокорейской шпионской группой. В первую очередь она нацелена на Южную Корею, но в сферу ее интересов попадают и другие азиатские страны. ScarCruft, по-видимому, интересуется в основном правительственными и военными организациями, а также компаниями из различных отраслей, связанных с интересами Северной Кореи. Группа также нацелена на северокорейских перебежчиков, о чем свидетельствует последняя подобная активность, описанная в этом блоге.
Бэкдор BirdCall
Версия для Windows
BirdCall — это бэкдор для Windows, написанный на C++, который мы обнаружили в 2021 году и отнесли к ScarCruft в рамках отчетности ESET Threat Intelligence.
Бэкдор обладает широким спектром шпионских возможностей, включая создание скриншотов, регистрацию нажатий клавиш и содержимого буфера обмена, кражу учетных данных и файлов, а также выполнение команд оболочки. Для связи с командно-контрольным сервером бэкдор использует легитимные облачные хранилища, такие как Dropbox или pCloud, либо взломанные веб-сайты. BirdCall обычно развертывается в многоступенчатой цепочке загрузки, начинающейся со скрипта на Ruby или Python и содержащей компоненты, зашифрованные с помощью ключа, специфичного для конкретного компьютера. Первоначальная версия BirdCall была публично описана южнокорейскими поставщиками в 2021 году как усовершенствованная версия RokRAT (S2W, AhnLab).
Версия для Android
Версия BirdCall для Android, обнаруженная в ходе атаки, которую мы описываем в этом блоге, реализует поднабор команд и возможностей бэкдора для Windows — она собирает контакты, SMS-сообщения, журналы вызовов, документы, медиафайлы и закрытые ключи. Она также может делать скриншоты и записывать окружающий звук.
По результатам нашего исследования, Android-версия BirdCall активно разрабатывалась в течение нескольких месяцев. Мы выявили семь версий, начиная с версии 1.0 (созданной примерно в октябре 2024 года) и заканчивая версией 2.0 (созданной примерно в июне 2025 года).
Обнаружение
Наше расследование началось с подозрительного APK-файла, обнаруженного на VirusTotal. В ходе первоначального анализа мы установили, что APK является вредоносным и содержит бэкдор.
Интересно, что APK оказался троянской карточной игрой под названием 延边红十 (машинный перевод: «Яньбяньская красная десятка»), которую мы отследили до ее официального сайта https://www.sqgame[.]net. sqgame — это игровая платформа, созданная специально для жителей Яньбяня, на которой размещены традиционные яньбяньские игры для Windows, Android и iOS. Игроки могут соревноваться в карточных и настольных играх (см. рис. 1) с друзьями или участвовать в организованных турнирах.
Удивительно, но APK, доступный для скачивания на официальном сайте, совпадает с APK, который мы изначально обнаружили на VirusTotal. Более того, вторая игра для Android (新画图, машинный перевод: «Новое рисование»), доступная для скачивания на sqgame, также была троянизирована с помощью того же бэкдора. Дальнейший анализ показал, что этот бэкдор представляет собой Android-порт бэкдора BirdCall группы ScarCruft.
Ссылка на клиент для Windows на сайте sqgame ведет к установочному файлу, выпущенному несколько лет назад, который, по-видимому, чист. После установки он загружает обновления, но в ходе нашего анализа мы не обнаружили в нем вредоносного кода.
Проведя дополнительное расследование с помощью телеметрии ESET, мы обнаружили троянскую библиотеку mono.dll, происходящую из пакета обновлений для настольного клиента. Телеметрия ESET показывает, что этот пакет обновлений был вредоносным, по крайней мере, с ноября 2024 года в течение неизвестного периода времени. На момент написания этой статьи этот пакет обновлений уже не был вредоносным.
Мы также проверили игру для iOS, доступную на веб-сайте sqgame, и не обнаружили в ней вредоносного кода. Мы полагаем, что ScarCruft пропустил эту платформу, поскольку троянизация и доставка приложения были бы гораздо сложнее по сравнению с другими платформами и, возможно, столкнулись бы с процессом проверки Apple.
Виктимология
Поскольку веб-сайт, скомпрометированный в ходе этой атаки, посвящен жителям Яньбяня и их традиционным играм, мы делаем вывод, что основными целями являются этнические корейцы, проживающие в Яньбяне. Корейский автономный округ Яньбянь — это регион в Китае, граничащий с Северной Кореей, где проживает крупнейшая община этнических корейцев за пределами Кореи.
В этом контексте мы полагаем, что атака, вероятно, была направлена на сбор информации о лицах, проживающих в регионе Яньбянь (или происходящих оттуда) и представляющих интерес для северокорейского режима — скорее всего, о беженцах или перебежчиках.
Обзор атаки
Android
Было обнаружено, что две из игр для Android, доступных на веб-сайте sqgame, были заражены трояном, содержащим бэкдор BirdCall. Страница загрузки, доступная по адресу https://www.sqgame[.]net/games/gamedownload.aspx, показана на рисунке 2, где кнопки загрузки для двух зараженных игр выделены красным цветом. Третья доступная игра для Android на момент нашего анализа была чистой.
Мы обнаружили доказательства того, что жертвы скачивали зараженные трояном игры через веб-браузер на своих устройствах и, вероятно, устанавливали их намеренно. Мы не обнаружили никаких других мест, где могли бы находиться эти APK-файлы. Мы также не обнаружили вредоносных APK-файлов в официальном магазине Google Play.
Нам не удалось определить, когда сайт был взломан впервые и началась атака на цепочку поставок. Однако, основываясь на нашем анализе развернутого вредоносного ПО, мы предполагаем, что это произошло в конце 2024 года.
В таблице 1 приведены URL-адреса хостинга двух троянских APK-файлов, а также хэши файлов, доступных на момент обнаружения. На момент написания этой статьи вредоносные файлы все еще находились на веб-сайте sqgame. Мы уведомили sqgame о взломе в декабре 2025 года, но ответа не получили.
Таблица 1. Вредоносные образцы
| Время обнаружения | URL | SHA‑1 | Описание |
| 2025-10 | http://sqgame.com |
03E3ECE9F48CF4104AAF |
Троянская игра с бэкдором BirdCall |
| 2025-10 | http://sqgame.com |
FC0C691DB7E2D2BD3B0B |
Троянская игра с бэкдором BirdCall |
Windows
Хотя настольный клиент для Windows, доступный на веб-сайте sqgame, не содержал вредоносного кода, когда мы его анализировали, позже мы обнаружили троянную библиотеку mono.dll, происходящую из пакета обновлений для настольного клиента, размещенного по URL http://xiazai.sqgame.com[.]cn/dating/20240429.zip. Телеметрия ESET показывает, что этот пакет обновлений был вредоносным, по крайней мере, с ноября 2024 года в течение неизвестного периода, но на момент написания статьи этот пакет обновлений уже не был вредоносным.
ScarCruft взял чистую библиотеку mono и вставил в нее дополнительный код и данные, содержащие загрузчик. Загрузчик сначала проверяет запущенные процессы на наличие инструментов анализа и сред виртуальных машин и не продолжает работу, если что-либо из этого обнаружено. В противном случае он ищет процесс клиента sqgame и формирует путь к библиотеке mono в его папке установки.
Далее он загружает и запускает шелл-код, который на момент обнаружения содержал бэкдор RokRAT. Наконец, загрузчик завершает процесс клиента и загружает исходную чистую версию библиотеки Mono, заменяя троянскую версию в папке установленного клиента. И полезный груз, и чистая библиотека Mono загружаются с легитимных южнокорейских веб-сайтов, которые были взломаны для этой цели — типичная тактика ScarCruft.
Согласно нашей телеметрии, бэкдор RokRAT впоследствии использовался для загрузки и установки бэкдора BirdCall на компьютеры жертв.
Анализ Android BirdCall
В этом разделе мы приводим технический анализ бэкдора BirdCall для Android — Android-порта одноименного бэкдора для Windows, написанного на C++. Внутри бэкдор называется zhuagou, что с китайского можно перевести как «ловля собак».
Троянские игры для Android
Android BirdCall распространяется через троянские игры для Android. В случае атаки, описанной в этом блоге, мы полагаем, что ScarCruft не получил доступ к исходному коду игры, а лишь к веб-сайту или веб-серверу sqgame, и вместо этого взял оригинальные APK-файлы игры и перекомпилировал или переупаковал их с добавлением вредоносного кода.
В троянских APK-файлах точка входа в AndroidManifest.xml изменена и указывает на добавленный вредоносный код, который после запуска бэкдора выполняет исходную точку входа игры.
В проанализированных образцах измененной точкой входа была либо com.example.zhuagou.SplashScreen, либо com.mob.util.MobSs (в последнем образце). Изменения в AndroidManifest.xml также включают новые определения активности и сервиса для бэкдора, а также дополнительные разрешения, необходимые для его работы. Сравнение пакетов в оригинальной игре и ее троянской версии показано на рисунке 3.
Поскольку бэкдор Android BirdCall является частью троянского приложения для Android, установленного в системе, он не запускается автоматически после установки или перезагрузки устройства; вместо этого он полагается на запуск пользователем.
Настройка
Android BirdCall содержит конфигурацию по умолчанию, которая инициализируется при первом запуске. Конфигурация использует формат JSON и сохраняется в файле. При последующих запусках загружается существующий файл конфигурации, и конфигурацию можно изменять с помощью команд бэкдора. Пример отформатированной конфигурации показан на рисунке 4.
{ "bi": "E823D451D636D0A0", "skey": "A8FE823D451D636D0A0366C0629EF5C3##@(()(#@", "si": "20251105141404", "rft": 20000, "fst": true, "kill": false, "log": true, "ctm": 10000, "scr": false, "rec": false, "cmd": 0, "data": 1, "bd_version": 37, "extentions": ".jpg;.doc;.docx;.xls;.xlsx;.ppt;.pptx;.txt;.hwp;.pdf;.m4a;.p12;", "cloud": [ { "ct": 9, "idx": 28, "cid": "1000.2IGB56IS1FHQ1V332R[удалено]", "cst": "fa7ec5c8b050[удалено]", "rt": "1000.a7fc479e[удалено]", "at": "empty", "fid": "8mwe5bbc0a2759839401f813968808a2f36a6", "dm": "", "use": 0 }, [redacted] ] }Рисунок 4. Пример конфигурации Android BirdCall
Запись конфигурации bd_version кодирует версию бэкдора, хранящуюся в формате MAJOR << 5 | MINOR, поэтому значение 37 соответствует версии 1.5.
Файл конфигурации сохраняется в каталоге данных приложения и имеет путь, зависящий от конкретного устройства. Кроме того, во время инициализации конфигурации настройки облачного хранилища, жестко заданные в примере, могут быть переопределены внешним источником. При наличии бэкдор загружает изображение в формате JPG, содержащее зашифрованную конфигурацию облачного хранилища, встроенную в его наложение. Изображение обычно размещается на взломанном южнокорейском веб-сайте.
Связь с C&C
Android BirdCall использует облачные хранилища для связи с C&C, аналогично версии для Windows. В проанализированных образцах поддерживаются три облачных провайдера: pCloud, Yandex Disk и Zoho WorkDrive, хотя используется только Zoho WorkDrive. Бэкдор обменивается данными по HTTPS, отправляя запросы на конечные точки API соответствующего провайдера с помощью библиотеки okhttp3.
В ходе нашего исследования мы обнаружили 12 дисков Zoho WorkDrive, используемых бэкдором Android BirdCall для целей связи с C&C-сервером. Подробные сведения о связанных учетных записях приведены в таблице 2.
Таблица 2. Учетные записи Zoho WorkDrive для Android BirdCall
| client_id | display_name | |
| 1000.AJUEYDUIQQ5G |
tomasalfred37 | tomasalfred37@zohomail[.]com |
| 1000.INXKBHQ3698C |
kalimaxim279 | kalimaxim279@zohomail[.]com |
| 1000.FYRJ46E75TUY |
Смит Бентли | smithbentley0617@zohomail[.]com |
| 1000.8QU6D2LJZ3RC |
Майкл Лэрроу19 | michaellarrow19@zohomail[.]com |
| 1000.NT1QEE7V73IH |
dsf sdf | amandakurth94@zohomail[.]com |
| 1000.SKXUYYKYL06F |
dsf sdf | rexmedina89@zohomail[.]com |
| 1000.7BMBOS8GV1ZR |
dsf dsf | alishaross751@zohomail[.]com |
| 1000.V0J0QN7SJ2N7 |
sdf sdf | jamesdeeds385@zohomail[.]com |
| 1000.2IGB56IS1FHQ |
asdf sdaf | joyceluke505@zohomail[.]com |
| 1000.W4V2XMB83C6V |
dfsd sdf | marjoriemiller280@zohomail[.]com |
| 1000.LIUBF67S89H0 |
Билл Джексон | teresadaniels200@zohomail[.]com |
| 1000.8BLOFSFU4WOF |
Зои Джек | michaelgiesen62@zohomail[.]com |
Возможности
Android BirdCall имеет механизм обновления: новую версию можно загрузить из файла обновления, который, как ожидается, будет иметь формат APK в каталоге данных приложения, а его загрузка запускается с помощью команды MP_SEND_FILE.
После необязательной процедуры обновления запускается исходная игровая активность, чтобы не вызвать подозрений. Затем бэкдор проверяет наличие интернет-соединения и ожидает его, прежде чем приступить к основной операции.
Сбор данных
При первом запуске бэкдор собирает полный список каталогов основного общего внешнего хранилища устройства, а также пользовательские данные, состоящие из списка контактов, журнала вызовов и SMS-сообщений.
Бэкдор периодически связывается с C&C-сервером и отправляет базовую информацию, которая состоит из:
- значения идентификаторов из конфигурации и текущее время,
- температура батареи, информация об ОЗУ и хранилище, конфигурация облачного хранилища, версия бэкдора и интересующие расширения файлов,
- информация о геолокации IP с https://ipinfo[.]io/json, а
- при первом запуске включается дополнительная информация об устройстве, сети и приложении:
○
марка, модель, ОС, ядро и статус рутирования,○
номер IMEI, IP-адрес, MAC-адрес и тип сети, а также○
пакет приложения и разрешения.
Бэкдор может периодически делать скриншоты (флагscr ). В некоторых версиях мы наблюдали технику, при которой во время создания скриншотов в цикле воспроизводился бесшумный MP3-файл, что используется для предотвращения приостановки троянского приложения при работе в фоновом режиме.
В некоторых версиях бэкдор может записывать звук через микрофон и прослушивать окружающую обстановку вокруг зараженного устройства. Странно, но даже если запись включена (флагrec ), она ограничена трехчасовым периодом вечером, с 19:00 до 22:00 по местному времени.
Бэкдор периодически сканирует общедоступное внешнее хранилище в поисках файлов с интересующими его расширениями (extensions) и готовит их к выносу. В проанализированных нами образцах вынос был нацелен на медиафайлы, документы и закрытые ключи: .jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a и .p12.
Команды
Android-версия BirdCall периодически проверяет облачное хранилище на наличие команд, отправленных для жертвы. Расшифрованные команды начинаются с магического DWORD 0x2A7B4C33, и это значение совпадает с Windows-версией BirdCall. Команды имеют от нуля до нескольких параметров, в зависимости от их типа. В таблице 3 приведен обзор поддерживаемых команд с их описаниями для обеих платформ.
Версия бэкдора для Android реализует только поднабор команд, доступных в версии для Windows.
Таблица 3. Команды бэкдора BirdCall
| Тип | Имя | Описание для Android | Описание для Windows |
| 0x48 | MP_SET_FILESEARCH_EXTENTION | Устанавливает расширения файлов, представляющие интерес, в конфигурации. | |
| 0x49 | MP_SET_THREADS | Включает или выключает создание снимков экрана и запись голоса. | Включает дополнительные возможности, такие как перехват содержимого буфера обмена и регистрация нажатий клавиш. |
| 0x4A | MP_SET_CLOUD | Устанавливает учетные данные облачного API в конфигурации. | |
| 0x4B | MP_SET_REGISTER_FILE_CONTROL | Не применимо | Изменяет фильтр, используемый при поиске файлов. |
| 0x4C | MP_SET_MODE | Включает или отключает сбор журналов выполнения бэкдора. | Включает или выключает различные флаги, связанные со сбором данных. |
| 0x4D | MP_ACTION_KILLME | Отключает бэкдор. Исходная игра продолжает работать. | Удаляет бэкдор и завершает работу. |
| 0x4E | MP_ACTION_KILLPROCESS | Н/Д | Использует утилиту taskkill для завершения процесса. |
| 0x4F | MP_ACTION_FILE_OR_DIRECTORY | Поддерживает загрузку указанного файла или каталога. | Поддерживает операции с несколькими файлами и каталогами: удаление, переименование, открытие и загрузка. |
| 0x50 | MP_ACTION_DOWNLOAD_COMMAND | Не применимо | Загружает и выполняет команды с URL-адреса или облачного диска. |
| 0x51 | MP_ACTION_RESET_WORKDIRECTORIES | Н/Д | Может удалять рабочие каталоги, используемые бэкдором. |
| 0x52 | MP_ACTION_EXECUTE_SIMPLE_COMMAND | Не применимо | Может перезапустить бэкдор и выполнить команду через cmd.exe. |
| 0x53 | MP_ACTIONS_MORE | Не применимо | Можно выполнить три операции: · Удаление сохраненной конфигурации. · Включить макросы в Word (Microsoft и Hancom Office). · Перезапустить бэкдор. |
| 0x54 | MP_ACTION_SHELL | Н/Д | Запускает оболочку (на основе WCMD). |
| 0x55 | MP_ACTION_WEBSCAN | Н/Д | Выполняет HTTP-сканирование указанных хостов/портов. |
| 0x56 | MP_GET_DATA | Можно получить: · контакты, журналы вызовов и SMS-сообщения, · полный список каталогов основного общего внешнего хранилища, а также · основную информацию. |
Можно получить: · настройки бэкдора и различную системную информацию, · учетные данные из браузеров и другого программного обеспечения, · файлы из приложений для обмена сообщениями — KakaoTalk, WeChat и Signal, · фотографии с камеры, а также · список каталогов. |
| 0x57 | MP_GET_TREES | Получает список каталогов. | |
| 0x59 | MP_SEND_FILE | Поддерживает обновление бэкдора. | Поддерживает размещение файла в указанном месте, размещение и запуск дополнительных исполняемых файлов, а также обновление бэкдора. |
| 0x5A | MP_SEND_SHELL | Н/Д | Выполняет команды оболочки. |
| 0x5C | MP_SET_PROXY | Не применимо | Подключается к указанному <ip>:<port> и перенаправляет трафик от/к C&C-серверу, действуя в качестве прокси. |
Дамп, содержащий версию BirdCall для Windows, которая очень похожа на ту, что мы наблюдали в этой атаке, и включает все перечисленные выше команды, можно найти на VirusTotal с SHA‑1 B06110E0FEB7592872E380B7E3B8F77D80DD1108. Образец был загружен из Китая15 июля 2024 года.
Заключение
Мы выявили мультиплатформенную атаку по цепочке поставок, направленную на регион Яньбянь через взломанную платформу видеоигр. Анализируя троянские игры для Android на этой платформе, мы обнаружили новый инструмент в арсенале ScarCruft — Android-версию бэкдора BirdCall, разработанного этой группой. Бэкдор для Android активно развивается и предоставляет возможности слежения, такие как сбор личных данных и документов, создание снимков экрана и запись голоса.
По любым вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу threatintel@eset.com.ESET Research предлагает частные отчеты по APT-угрозам и информационные ленты. По любым вопросам об этой услуге посетите страницу ESET Threat Intelligence.
IoC
Полный список индикаторов компрометации (IoC) и образцов можно найти в нашем репозитории GitHub.
Файлы
| SHA-1 | Имя файла | Обнаружение | Описание |
| 01A33066FBC6253304C9 |
sqybhs.apk | Android/Spy.Agent.EXM | Троянская игра с Android BirdCall версии 2.0. |
| 03E3ECE9F48CF4104AAF |
ybht.apk | Android/Spy.Agent.EGE | Троянская игра с Android BirdCall версии 1.3. |
| 2B81F78EC4C3F8D6CF8F |
sqybhs.apk | Android/Spy.Agent.EGE | Троянская игра с Android BirdCall версии 1.5. |
| 59A9B9D47AE36411B277 |
ybht.apk | Android/Spy.Agent.EGE | Троянская игра с Android BirdCall версии 1.0. |
| 7356D7868C81499FB4E7 |
sqybhs.apk | Android/Spy.Agent.EGE | Троянская игра с Android BirdCall версии 1.0. |
| FC0C691DB7E2D2BD3B0B |
sqybhs.apk | Android/Spy.Agent.EGE | Троянская игра с Android BirdCall версии 1.5. |
| 95BDB94F6767A3CCE6D9 |
mono.dll | Win32/TrojanDownloader |
Троянская библиотека mono. |
| 409C5ACAED587F62F7E2 |
N/A | Win32/TrojanDownloader |
Загрузчик, ведущий к бэкдору RokRAT. |
| B06110E0FEB7592872E3 |
N/A | Win64/Agent.EGN | Общедоступный дамп бэкдора Windows BirdCall. |
Сеть
| IP | Домен | Хостинг-провайдер | Впервые обнаружен | Подробности |
| 39.106.249[.]68 | sqgame.com[.]cn | Hangzhou Alibaba Advertising Co.,Ltd. | 01.06.2024 | Скомпрометированный сайт sqgame, на котором размещены троянские игры и вредоносные обновления. |
| 211.239.117[.]117 | 1980food.co[.]kr | Hostway IDC | 07.03.2025 | Скомпрометированный южнокорейский сайт, использовавшийся для размещения конфигурации Android BirdCall. |
| 114.108.128[.]157 | inodea[.]com | LG DACOM Corporation | 03.07.2025 | Скомпрометированный южнокорейский сайт, использовавшийся для размещения конфигурации Android BirdCall. |
| 221.143.43[.]214 | www.lawwell.co[.]kr | SK Broadband Co Ltd | 04.11.2024 | Скомпрометированный южнокорейский сайт, использовавшийся для размещения шелл-кода и чистой библиотеки mono. |
| 222.231.2[.]20 | colorncopy.co[.]kr swr.co[.]kr |
LG DACOM Corporation | 18.03.2025 | Скомпрометированный южнокорейский сайт, использовавшийся для размещения шелл-кода. |
| 222.231.2[.]23 | sejonghaeun[.]com | IP Manager | 18.03.2025 | Скомпрометированный южнокорейский сайт, использовавшийся для размещения чистой библиотеки mono. |
| 222.231.2[.]41 | cndsoft.co[.]kr | IP-менеджер | 18.03.2025 | Скомпрометированный южнокорейский сайт, использовавшийся для размещения шелл-кода. |
Техники MITRE ATT&CK
Эта таблица была составлена с использованием версии 18 фреймворка MITRE ATT&CK Enterprise.
| Тактика | ID | Название | Описание |
| Разработка ресурсов | T1584.004 | Скомпрометированная инфраструктура: сервер | ScarCruft взломал южнокорейские веб-сайты для размещения вредоносных кодов и конфигураций. ScarCruft взломал веб-сайт sqgame для проведения атаки по цепочке поставок. |
| T1585.003 | Создание учетных записей: облачные учетные записи | ScarCruft создал учетные записи Zoho WorkDrive и использовал их облачные хранилища для целей C&C. | |
| T1587.001 | Развитие возможностей: вредоносное ПО | ScarCruft разработал Android-версию бэкдора BirdCall. | |
| T1608.001 | Возможности этапа: загрузка вредоносного ПО | ScarCruft загрузил троянские игры на взломанный веб-сайт sqgame. | |
| Первоначальный доступ | T1195.002 | Компрометация цепочки поставок: компрометация цепочки поставок программного обеспечения | ScarCruft взломал сервер обновлений sqgame для распространения вредоносных обновлений. |
| Выполнение | T1059.003 | Интерпретатор команд и скриптов: командная оболочка Windows | BirdCall может выполнять команды оболочки. |
| Уклонение от защиты | T1027.013 | Запутывающие файлы или информация: зашифрованный/кодированный файл | BirdCall имеет зашифрованные строки и компоненты цепочки загрузки. Троянизированная библиотека Mono содержит зашифрованный шелл-код. |
| T1070.004 | Удаление индикаторов: удаление файлов | Троянская библиотека Mono заменяется чистой. | |
| T1112 | Изменение реестра | BirdCall может изменять настройки текстовых редакторов, чтобы включить макросы. | |
| T1140 | Деобфускация/декодирование файлов или информации | BirdCall расшифровывает строки и компоненты цепочки загрузки. | |
| T1480.001 | Защита от выполнения: ключи, зависящие от среды | Цепочка загрузки BirdCall содержит компоненты, зашифрованные с помощью ключа, специфичного для конкретного компьютера. | |
| T1497 | Обход виртуализации/песочницы | Загрузчик в троянской библиотеке Mono проверяет наличие инструментов анализа и сред виртуальных машин. | |
| Доступ к учетным данным | T1555 | Учетные данные из хранилищ паролей | BirdCall может получать сохраненные пароли из браузеров и другого программного обеспечения. |
| Обнаружение | T1046 | Обнаружение сетевых служб | BirdCall может сканировать диапазон IP-адресов и портов с помощью HTTP-запроса GET. |
| T1082 | Обнаружение системной информации | BirdCall может получать различную системную информацию. | |
| T1083 | Обнаружение файлов и каталогов | BirdCall может получать информацию о дисках и каталогах. | |
| Сбор | T1005 | Данные из локальной системы | BirdCall может собирать пользовательские файлы из мессенджеров KakaoTalk, WeChat и Signal. |
| T1056.001 | Захват ввода: кейлоггинг | BirdCall может регистрировать нажатия клавиш. | |
| T1113 | Снимок экрана | BirdCall может делать снимки экрана. | |
| T1115 | Данные буфера обмена | BirdCall может собирать содержимое буфера обмена. | |
| T1119 | Автоматический сбор | BirdCall может периодически собирать файлы с определенными расширениями с локальных и съемных дисков. | |
| T1125 | Захват видео | BirdCall может делать снимки с веб-камеры. | |
| T1560 | Архивирование собранных данных | BirdCall сжимает и шифрует собранные данные перед их выводом. | |
| Управление | T1071.001 | Протокол прикладного уровня: веб-протоколы | BirdCall использует HTTP для связи с облачными хранилищами. |
| T1090 | Прокси | BirdCall может выступать в качестве прокси. | |
| T1102.002 | Веб-сервис: двунаправленная связь | BirdCall взаимодействует с облачными хранилищами для загрузки команд и вывода данных. | |
| Вывод данных | T1020 | Автоматическая экфильтрация | BirdCall периодически выводит собранные данные. |
| T1041 | Передача данных через канал C2 | BirdCall выводит данные на свой C&C-сервер. | |
| T1567.002 | Передача данных через веб-сервис: передача в облачное хранилище | BirdCall выводит данные в облачные хранилища. |
Эта таблица была составлена с использованием версии 18 фреймворка MITRE ATT&CK Mobile.
| Тактика | ID | Название | Описание |
| Первоначальный доступ | T1474.003 | Компрометация цепочки поставок: компрометация цепочки поставок программного обеспечения | ScarCruft осуществил атаку через цепочку поставок, взломав сайт sqgame, чтобы распространять троянские игры, содержащие бэкдор Android BirdCall. |
| Обход средств защиты | T1406 | Запутывание файлов или информации | Версия 2.0 бэкдора Android BirdCall обфусфицирована. |
| T1407 | Загрузка нового кода во время выполнения | Бэкдор Android BirdCall может загружать и устанавливать более новые версии самого себя. | |
| T1541 | Сохранение в фоновом режиме | Android BirdCall использует API startForeground для создания снимков экрана, находясь в фоновом режиме. | |
| Обнаружение | T1420 | Обнаружение файлов и каталогов | Android BirdCall создает список каталогов и ищет файлы с указанными расширениями. |
| T1422 | Обнаружение конфигурации локальной сети | Android BirdCall получает IMEI устройства, IP-адрес и MAC-адрес. | |
| T1426 | Определение системной информации | Android BirdCall получает системную информацию о скомпрометированном устройстве, включая марку, модель, версию ОС, версию ядра, статус рутирования, температуру аккумулятора, объем оперативной памяти и информацию о хранилище. | |
| Коллекция | T1532 | Архив собранных данных | Android BirdCall сжимает и шифрует собранные данные. |
| T1429 | Запись звука | Android BirdCall может записывать голос с помощью микрофона. | |
| T1430 | Отслеживание местоположения | Android BirdCall получает приблизительное местоположение устройства с помощью службы ipinfo[.]io. | |
| T1513 | Снимок экрана | Android BirdCall может делать снимки экрана. | |
| T1533 | Данные из локальной системы | Android BirdCall собирает локальные файлы со следующими расширениями: .jpg, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .txt, .hwp, .pdf, .m4a и .p12. | |
| T1636.002 | Защищенные пользовательские данные: журнал вызовов | Android BirdCall собирает журнал вызовов. | |
| T1636.003 | Защищенные пользовательские данные: список контактов | Android BirdCall собирает список контактов. | |
| T1636.004 | Защищенные пользовательские данные: SMS-сообщения | Android BirdCall собирает SMS-сообщения. | |
| Управление и контроль | T1437.001 | Протокол прикладного уровня: веб-протоколы | Android BirdCall обменивается данными с облачным хранилищем C&C по протоколу HTTPS. |
| T1481.002 | Веб-сервис: двунаправленная связь | Android BirdCall использует облачное хранилище Zoho WorkDrive для целей C&C. | |
| Экфильтрация | T1646 | Экфильтрация через канал C2 | Android BirdCall использует канал C&C для экфильтрации данных. |
