Kimsukyとして知られる北朝鮮のハッキング・グループは、最近の攻撃で、感染したマシンに直接アクセスするために、特注のRDP Wrapperとプロキシ・ツールを使用していることが確認された。
このキャンペーンを発見したAhnLab SEcurity Intelligence Center (ASEC)によると、これはKimsukyの戦術が変化していることを示すものだという。
ASECによると、北朝鮮のハッカーは現在、PebbleDashのような騒々しいバックドアだけに頼るのではなく、カスタマイズされた多様なリモート・アクセス・ツールを使用しているという。
キムスキーの最新の攻撃チェーン
最新の感染チェーンは、PDFまたはWord文書を装った悪意のあるショートカット(.LNK)ファイルの添付ファイルを含むスピアフィッシングメールから始まる。
メールには受信者の名前と正しい会社名が含まれており、Kimsukyが攻撃前に偵察を行ったことを示唆している。
.LNKファイルを開くと、PowerShellまたはMshtaが起動し、外部サーバーから以下のような追加のペイロードを取得します:
- PebbleDash、初期システム制御を提供する既知のKimsukyバックドア。
- オープンソースのRDP Wrapperツールの修正版で、持続的なRDPアクセスとセキュリティ対策のバイパスを可能にします。
- プライベート・ネットワークの制限をバイパスするプロキシ・ツールにより、RDPへの直接接続がブロックされている場合でも、攻撃者がシステムにアクセスできるようにします。
カスタムRDP Wrapper
RDP Wrapperは、Windows Homeのようにリモート・デスクトップ・プロトコル(RDP)をネイティブにサポートしていないWindowsバージョンで、リモート・デスクトップ・プロトコル(RDP)機能を有効にするために設計された正規のオープンソース・ツールです。
これは中間層として機能し、ユーザーはシステム・ファイルを変更することなくリモート・デスクトップ接続を可能にする。
Kimsuky氏のバージョンは、アンチウイルス検知を回避するためにエクスポート関数を変更し、シグネチャ・ベースの検知を回避するのに十分なほど動作を差別化しているようだ。
ソースはこちら:ASEC
カスタムRDP Wrapperを使用する主な利点は、検出の回避です。RDP接続は多くの場合、正当なものとして扱われるため、Kimsukyはより長い間、レーダーをかいくぐることができます。
さらに、マルウェア経由のシェルアクセスと比較して、より快適なGUIベースのリモートコントロールを提供し、リレーを介してファイアウォールやNATの制限を回避することができるため、外部からのRDPアクセスを可能にします。
ASECの報告によると、Kimsukyはネットワーク上に足場を確保すると、二次的なペイロードを投下する。
これには、キー入力をキャプチャしてシステム・ディレクトリ内のテキスト・ファイルに保存するキーロガー、Webブラウザに保存された認証情報を抽出するインフォ・ステアラー(forceCopy)、メモリ内でペイロードを実行できるPowerShellベースのReflectiveLoaderなどが含まれます。
全体として、Kimsuky は永続的かつ進化する脅威であり、情報収集に専念する北朝鮮の最も多作な サイバースパイ脅威グループの 1 つです。
ASEC の最新の調査結果によると、この脅威集団は、侵害されたネットワークに長時間滞留するために、よりステルス性の高いリモート・アクセス手法に切り替えています。
Comments