北朝鮮の国家活動家「Kimsuky」(別名「Emerald Sleet」または「Velvet Chollima」)が、現在広まっているClickFixキャンペーンにインスパイアされた新しい戦術を使用していることが確認された。
ClickFixは、サイバー犯罪コミュニティで特に情報窃取マルウェアを配布するために人気を博しているソーシャル・エンジニアリングの手口である。
これは、被害者が自ら悪意のあるコードを実行するように、多くの場合PowerShellコマンドを経由して、人を欺くエラーメッセージやプロンプトを表示するものです。このような行為は、通常マルウェア感染につながる。
マイクロソフトの脅威インテリジェンスチームからの情報によると、攻撃者は韓国政府関係者になりすまし、徐々に被害者とのつながりを築いていきます。
一定の信頼関係が築かれると、攻撃者はPDFを添付したスピアフィッシングメールを送信する。しかし、この文書を読もうとするターゲットは、偽のデバイス登録リンクに誘導され、PowerShellを管理者として実行し、攻撃者が提供したコードを貼り付けるよう指示されます。
Source:マイクロソフト
このコードが実行されると、ブラウザベースのリモートデスクトップツールがインストールされ、ハードコードされたPINを使用して証明書がダウンロードされ、被害者のデバイスがリモートサーバーに登録され、攻撃者はデータ流出のために直接アクセスできるようになる。
マイクロソフトによると、この手口は2025年1月以降、北米、南米、欧州、東アジアの国際機関、NGO、政府機関、メディア企業で働く個人を標的とした限定的な攻撃で確認されたという。
マイクロソフトは、この活動の標的となった顧客に通知するとともに、他の顧客に対しても、この新しい手口に注意し、すべての未承諾の通信に細心の注意を払うよう促しています。
マイクロソフトは、「2025年1月以降、この手口は限定的な攻撃でしか確認されていませんが、この変化は、従来のスパイ活動の標的を危険にさらす新たなアプローチを示しています」と警告しています。
Kimsukyのような国家行為者がClickFixの戦術を採用したことは、実際のオペレーションにおいてこの攻撃が有効であることの証左である。
ユーザーは、オンラインでコピーしたコードを自分のコンピュータで実行するよう要求された場合、特に管理者権限で実行する場合には、注意を払う必要がある。
Comments