Last Updated on 2024-06-25 08:41 by 門倉 朋宏
北朝鮮に関連するハッキンググループ「Kimsuky」が、Facebookメッセンジャーを利用した新たなソーシャルエンジニアリング攻撃を展開している。この攻撃では、北朝鮮の人権分野で働く公務員を装った偽のFacebookアカウントを作成し、ターゲットにマルウェアを配布している。韓国のサイバーセキュリティ企業Geniansが最近公表した報告によると、この攻撃キャンペーンは、北朝鮮の人権活動家や反北朝鮮セクターの活動家を標的としている。攻撃者は、Facebookメッセンジャーを通じてターゲットに接近し、偽の個人が書いたとされるプライベートドキュメントを開かせることで、マルウェアを配布する。
攻撃には、OneDrive上にホストされたMicrosoft Common Consoleドキュメント(MSCファイル)が使用され、これが日米韓三国間の首脳会談に関連するエッセイやコンテンツであるかのように偽装されている。「My_Essay(prof).msc」や「NZZ_Interview_Kohei Yamamoto.msc」といったファイル名が使用され、後者は2024年4月5日に日本からVirusTotalプラットフォームにアップロードされた。これにより、特定の日本および韓国の人物を標的とする可能性が示唆されている。被害者がMSCファイルを開き、Microsoft Management Console(MMC)を使用して開くことに同意すると、Wordドキュメントを含むコンソール画面が表示され、攻撃シーケンスが起動する。このプロセスには、敵対者が制御するサーバー(”brandwizer.co[.]in”)への接続を確立し、Google Drive上にホストされたドキュメント(”Essay on Resolution of Korean Forced Labor Claims.docx”)を表示する一方で、バックグラウンドで追加の指示が実行され、持続性の設定やバッテリーおよびプロセス情報の収集が行われる。収集された情報はコマンド&コントロール(C2)サーバーに送信され、必要に応じて関連するペイロードの配信が行われる。
Geniansは、このキャンペーンで採用された戦術、技術、および手順(TTP)の一部が、2023年5月にSentinelOneによって詳述されたReconSharkなどのマルウェアを拡散する以前のKimsukyの活動と重なっていると指摘している。同社は、「今年の第1四半期には、スピアフィッシング攻撃が韓国で報告されたAPT攻撃の中で最も一般的な方法であった」と述べている。また、「ソーシャルメディアを介した隠密攻撃は一般的に報告されていないが、発生している」とも指摘している。
【ニュース解説】
北朝鮮に関連するハッキンググループ「Kimsuky」が、Facebookメッセンジャーを利用した新たなソーシャルエンジニアリング攻撃を展開していることが、韓国のサイバーセキュリティ企業Geniansによって報告されました。この攻撃は、北朝鮮の人権分野で働く公務員を装った偽のFacebookアカウントを作成し、特定の活動家を標的にマルウェアを配布するというものです。
この攻撃キャンペーンは、北朝鮮の人権活動家や反北朝鮮セクターの活動家を主なターゲットとしています。攻撃者は、Facebookメッセンジャーを通じてターゲットに接近し、偽の個人が書いたとされるプライベートドキュメントを開かせることで、マルウェアを配布します。使用されるドキュメントは、OneDrive上にホストされたMicrosoft Common Consoleドキュメント(MSCファイル)で、日米韓三国間の首脳会談に関連するエッセイやコンテンツであるかのように偽装されています。
この攻撃方法は、従来のメールベースのスピアフィッシング戦略から一歩進んでおり、ソーシャルメディアプラットフォームを利用してターゲットに近づくことで、より巧妙にマルウェアを配布することが可能になっています。また、MSCファイルを使用することで、一般的なセキュリティ対策を回避しやすくなっています。
この攻撃が成功すると、被害者のデバイスは攻撃者が制御するサーバーに接続され、追加のマルウェアがダウンロードされたり、個人情報が盗まれたりする可能性があります。このような攻撃は、個人のプライバシー侵害だけでなく、国家安全保障にとっても重大な脅威となり得ます。
このニュースは、ソーシャルメディアを通じたサイバー攻撃の脅威が高まっていることを示しています。特に、個人を標的とした攻撃は、そのパーソナライズされた性質上、検出が困難であり、早期にこれらの脅威を検出することが非常に重要です。ユーザーは、不審なメッセージやリンクに注意し、ソフトウェアの更新を常に最新の状態に保つことで、この種の攻撃から自身を守ることができます。
また、この事件は、サイバーセキュリティ対策の重要性を再認識させるものであり、企業や政府機関は、ソーシャルメディアを介した攻撃に対する防御策を強化する必要があります。サイバーセキュリティ教育の強化や、不正な活動を早期に検出するためのシステムの導入が、今後さらに重要になってくるでしょう。
from North Korean Hackers Exploit Facebook Messenger in Targeted Malware Campaign.
