Google裝置追蹤工具遭濫用，北韓駭客Konni從事安卓裝置資料破壞攻擊

一般來說，手機的「尋找我的裝置」的用途，主要是在手機遺失的情況下協助用戶追蹤及尋找，並透過遠端抹除裝置的機制防範個資外洩，然而現在歹徒竟用來當作抹除受害手機資料的工具。

韓國資安業者Genians發現北韓駭客Konni最新的攻擊行動，他們將惡意檔案偽裝成舒壓應用程式，透過韓國即時通訊平臺KakaoTalk散布，這波活動引起Genians格外關注的地方，在於攻擊者的目的，是濫用Google的Find Hub（前身為「尋找我的裝置」）服務，藉由遠端恢復原廠設定的功能，抹除受害者的安卓手機資料，而這是首度有駭客團體濫用此種機制進行資料破壞的行動。

這波攻擊與Genians在去年7月揭露的網釣活動有關，當時Konni假借韓國國稅局的名義，或是脫北者獎學金申請為幌子，於受害電腦植入AutoIT指令碼，藉此長時間監控受害者。這種指令碼秘密駐留在受害電腦，疑似長時間處於休眠，然而在這段期間Konni也持續監控系統狀態並進行竄改，以便持續在受害電腦活動，並透過C2伺服器部署額外的惡意模組來達到進一步控制的目的。

這些額外模組是什麼？Genians提及主要是RAT木馬程式，其中包含LilithRAT、RemcosRAT、QuasarRAT，以及RftRAT。

不過，Genians發現上述網釣活動並非個別的獨立事件，因為Konni在得逞後，會將受害電腦納入攻擊基礎設施，並充當中繼站，利用KakaoTalk傳送惡意檔案。

Konni先後在9月5日與15日濫用受害者的帳號，他們先對一名專為脫北青年提供心理諮商的輔導員下手，透過KakaoTalk聲稱對學生提供舒壓計畫資料來從事惡意活動，並導致多臺設備感染惡意程式。事隔10天，這些駭客又利用另一名受害者的KakaoTalk帳號，對其他人大肆散布惡意文件。

其中最不尋常的地方在於，Konni會濫用Find Hub確認受害者的地理位置，若是受害者外出，他們就會遠端對安卓手機或是平板下達恢復原廠設定的命令，使得這些行動裝置無法正常運作，進而切斷存取KakaoTalk等即時通訊應用程式的管道，延遲察覺異狀及回應的時間。得逞後Konni就會隨機利用竊得的KakaoTalk帳號，快速散布惡意檔案。

Genians指出，Konni能夠濫用Find Hub的關鍵，在於他們事先取得受害者的Google與Naver帳號，然後登入Gmail並檢視近期的存取記錄，透過Google帳號管理介面來取得恢復Naver帳號的電子郵件信箱，接著他們存取Naver帳號，並清除來自Google的警示電子郵件，最終透過Find Hub服務來找到已經註冊的手機或平板電腦，最終下達多次遠端回復原廠設定的命令。此時，他們會存取受害者電腦已經登入的KakaoTalk，並當作散布惡意檔案的管道。

對於攻擊者的身分，Genians提及Konni和北韓駭客組織Kimsuky與APT37出現交集，這三組人馬在攻擊目標與基礎設施重疊，但根據入侵指標（IoC），以及濫用WordPress作為替代基礎設施，並運用位於俄羅斯、美國，以及德國的主機當作C2節點，還有將RAT木馬的中繼節點分散於日本或荷蘭等國家，確認攻擊者是Konni。