MESSAGETAP

APT41（Advanced Persistent Threat）として知られる中国のハッキンググループは、MESSAGETAPと呼ばれる洗練されたハッキングツールを使用して発見されました。 MESSAGETAPマルウェアの最初の活動は、2019年の初めに発見されました。APT41が金銭的な動機を備えたキャンペーンを実施していない場合、このハッキンググループは中国政府の攻撃犬となります。彼らは、北京の役人に関心があると考えられる組織や個人を標的にしていることが知られています。

特定のテキスト文字列とターゲットの個人を探します

MESSAGETAPの脅威は、通信会社を危険にさらし、SMSメッセージを標的にします。このハッキングツールは、特定の個人をターゲットにするか、傍受したテキストメッセージに存在する可能性のあるテキストおよびキーワードの特定の文字列を探すようにプログラムされています。 MESSAGETAPマルウェアの展開は、Linuxサーバーで実行されます。これらのサーバーはSMSC（ショートメッセージサービスセンター）として使用されます。SMSCは、テキストメッセージの受信と配信に関係するインフラストラクチャです。 MESSAGETAPマルウェアがホストを正常に侵害すると、「keyword_parm.txt」および「parm.txt」ファイルを探します。前者は、傍受したテキストメッセージでMESSAGETAPマルウェアが検索するキーワードのリストを保持しています。ただし、後者のファイルには、IMSI（International Mobile Subscriber Identity）番号のリストが含まれています。これは各登録ユーザーのSIMカードに固有であり、APT41のスパイ活動の標的となった個人を識別するために使用できます。

収集されたデータは定期的にAPT41サーバーに転送されます

両方のファイルがMESSAGETAPマルウェアのコードと一緒にターゲットのメモリに配置された場合、この脅威はファイルを消去することにより、脅威のアクティビティのフィンガープリントを確実に削減します。次に、MESSAGETAPハッキングツールは、盗聴するようにプログラムされたテキスト文字列を探して攻撃を続行し、条件に一致するテキストメッセージがリストに収集されます。 MESSAGETAPマルウェアは、特定のIMSI番号のテキストメッセージを収集し、別のリストに保存します。その後、両方のリストのデータが定期的に攻撃者のサーバーに転送されます。 APT41はMESSAGETAPハッキングツールを使用して、世界中の中国の利益に関連すると考えられる政治組織、政府機関、および軍事機関を侵害している可能性があります。

マルウェアの専門家は、APT41が通信プロバイダーにどのように侵入できるかについては確信がありませんが、中国政府がサイバー犯罪者のサービスを利用して利益を高めることをためらわないことは明らかです。 MESSAGETAPハッキングツールは、香港の抗議活動に対抗する作戦で使用される可能性があり、反北京集会に関与する著名な人物の活動を追跡する際に利用される可能性が高いと推測されています。