North Korea

日本のコンピュータ緊急対応センター(JPCERT/CC)は、日本の組織が北朝鮮の「Kimsuky」脅威アクターによる攻撃の標的になっていると警告している。

米国政府は、Kimsukyを北朝鮮の高度持続的脅威(APT)グループとしており、北朝鮮政府にとって関心のあるトピックに関する情報を収集するため、世界中の標的に対して攻撃を行っている。

この脅威集団は、ソーシャル・エンジニアリングや フィッシングを利用してネットワークへの初期アクセスを行うことが知られている。その後、カスタムマルウェアを展開し、データを窃取し、ネットワーク上で永続性を維持します。

日本によると、Kimsuky攻撃は今年初めに検出され、その帰属は、AhnLab Security Intelligence Center(ASEC)が2つの別々の報告書(12)で共有した侵害の指標(IoC)に基づいている。

「JPCERT/CCは、2024年3月にKimsukyと呼ばれる攻撃グループによる日本の組織を標的とした攻撃活動を確認した」と警告している。

フィッシングから始まる

攻撃者は、セキュリティ機関や外交機関を装い、悪意のあるZIPを添付したフィッシングメールを日本国内のターゲットに送信することから攻撃を開始する。

このZIPには、マルウェア感染につながる実行ファイルと、2つのおとり文書ファイルが含まれています。また、実行ファイルのファイル名にはスペースを多用し、「.exe」の部分を隠して文書に見せかけます。

被害者によって実行されると、このペイロードはVBSファイルをダウンロードして実行し、さらにWscriptを介して自動的に起動するように「C:◆Users◆Public◆Pictures◆Desktop.ini.bak」を設定します。

VBSファイルはPowerShellスクリプトをダウンロードし、プロセスリスト、ネットワークの詳細、フォルダ(ダウンロード、ドキュメント、デスクトップ)からのファイルリスト、ユーザーアカウント情報などの情報を収集する。この情報は、攻撃者の制御下にあるリモートURLに送信される。

この収集された情報により、Kimsukyは感染したデバイスが正規のユーザーマシンであるか、分析環境であるかを判断します。

最後に、新しいVBSファイルが作成・実行され、キー入力やクリップボードの情報を記録するPowerShellスクリプトがダウンロードされ、攻撃者に送信されます。

Kimsuky attacks in Japan
日本におけるKimsuky攻撃
Source:JPCERT/CC

キーロガーによって収集された情報には、脅威者が組織のシステムやアプリケーションにさらに侵入するための認証情報が含まれている可能性があります。

最新のKimsuky攻撃

2024年5月、ASECはKimsukyが韓国でCHM形式のマルウェアを配布していることを発見しました。このマルウェアはこれまでにも、LNK、DOC、OneNoteなど、さまざまな形式で拡散されていました。

攻撃の流れとしては、ヘルプ画面を表示するコンパイル済みHTMLヘルプ(CHM)ファイルを実行すると同時に、バックグラウンドで悪意のあるスクリプトを実行します。

Latest attack flow
最新のKimsuky攻撃フロー
ソースはこちら:ASEC

このスクリプトは、ユーザーのプロファイル・パスにファイルを作成して実行します。このファイルはその後、外部のURLに接続し、さらに悪意のあるBase64エンコードされたスクリプトを実行します。

これらのスクリプトは、ユーザー情報の流出、悪意のあるスクリプトの作成とサービスとしての登録、およびキーロギングの実行を行います。

過去の亜種と比較して、ASECのアナリストが確認した最新のマルウェアのサンプルは、検出を回避するために、より巧妙な難読化を採用しています。

日本で検出されたKimsukyの活動を考慮すると、日本のCERTは、マルウェアを配信するように設計された実行可能スクリプトを含む可能性のあるCHMファイルに対する組織の警戒の必要性を強調しています。