国家を後ろ盾とする北朝鮮の脅威グループKonni(Opal Sleet、TA406)は、情報収集活動においてウクライナ政府機関を標的としていることが確認された。
攻撃者は、シンクタンクになりすまし、重要な政治的イベントや軍事的進展に言及したフィッシングメールを使用してターゲットをおびき寄せます。
2025年2月にこの活動を発見したプルーフポイントの研究者は、ウクライナにおけるロシアと並ぶ北朝鮮の軍事的関与を支持し、紛争を支える政治的状況を評価するための取り組みである可能性が高いと指摘しています。
「Proofpointは、TA406がウクライナの政府機関を標的としているのは、ロシアの侵攻に対する戦闘を継続する意欲をよりよく理解し、紛争の中期的な見通しを評価するためであると評価している」と研究者は説明している。
“北朝鮮は2024年秋にロシアを支援するために部隊を派遣しており、TA406は、北朝鮮の指導部がすでに戦場にいる部隊の現在のリスクや、ロシアがさらなる部隊や軍備を要請する可能性を判断するための情報収集を行っている可能性が非常に高い”
攻撃チェーン
ターゲットに送られる悪意のあるメールは、架空のシンクタンクのメンバーになりすまし、最近の軍指導者の解任やウクライナの大統領選挙などの重要な問題を扱っている。
攻撃者は、Gmail、ProtonMail、Outlookなどのフリーメールサービスを利用して、ターゲットに繰り返しメッセージを送り、リンクをクリックするよう促している。
出典:Proofpoint:プルーフポイント
そうすることで、被害者はMEGAがホストするダウンロードに誘導され、パスワードで保護された.RARアーカイブ(Analytical Report.rar)がシステム上にドロップされ、同じ名前の.CHMファイルが含まれます。
このファイルを開くと、次の段階のPowerShellをダウンロードする埋め込みPowerShellが起動し、感染したホストから偵察情報を取得し、永続性を確立します。
Proofpointは、HTMLの添付ファイルを使用して、良性のPDFと悪意のあるLNKファイルを含むZIPアーカイブをドロップし、PowerShellとVBScriptを実行させる亜種も確認しています。
出典:Proofpoint:Proofpoint
Proofpointは、これらの攻撃における最終的なペイロードを取得できませんでした。このペイロードは、スパイ活動を促進する何らかのマルウェア/バックドアであると考えられています。
研究者はまた、Konniが以前に同じ人々を標的とした準備攻撃を実行し、アカウントの乗っ取りに使用できるアカウント認証情報を採取しようとしていたことにも言及している。
これらの試みは、マイクロソフトのセキュリティ・アラートを詐称し、”異常なサインイン活動 “を主張し、受信者に “jetmf[.]com “のフィッシング・サイトでログインを確認するよう求める電子メールを含んでいた。
ソースプルーフポイント
北朝鮮がウクライナ政府機関を標的にしたことで、ウクライナのサイバーセキュリティの戦場は新たな局面を迎えている。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments