Last Updated on 2024-03-19 10:37 by 荒木 啓介
2024年3月18日、新たな攻撃キャンペーンが観察され、PowerShellおよびVBScriptマルウェアを使用してWindowsシステムを感染させ、機密情報を収集している。このキャンペーンはDEEP#GOSUと名付けられ、北朝鮮の国家支援グループであるKimsukyと関連があると見られている。セキュリティ企業Securonixによると、DEEP#GOSUで使用されるマルウェアペイロードは、特にネットワーク監視の観点からWindowsシステム上で隠密に動作するように設計された複雑な多段階の脅威である。このマルウェアの機能には、キーロギング、クリップボード監視、動的ペイロード実行、データの抽出と持続性の確保が含まれる。感染手順の特徴として、DropboxやGoogle Docsなどの正規サービスをコマンドアンドコントロール(C2)に利用し、通常のネットワークトラフィックに紛れて検出を避ける点が挙げられる。また、これらのクラウドサービスを使用してペイロードをステージングすることで、マルウェアの機能を更新したり、追加モジュールを配信することが可能である。
感染の出発点は、PDFファイルに偽装した悪意のあるZIPアーカイブが含まれた電子メール添付ファイルである。この.LNKファイルには、PowerShellスクリプトと偽のPDFドキュメントが埋め込まれており、前者は俳優が制御するDropboxインフラストラクチャに接続して別のPowerShellスクリプトを取得し実行する。第二段階のPowerShellスクリプトは、Dropboxから新しいファイルを取得し、これが実際にはTruRatとして知られるオープンソースのリモートアクセストロイの木馬である。Kimsukyは、少なくとも昨年AhnLab Security Intelligence Center(ASEC)によって発見された2つのキャンペーンでTruRatを使用していた。また、PowerShellスクリプトによってDropboxから取得されるVBScriptは、クラウドストレージサービスから取得した任意のVBScriptコードを実行し、システム上でコマンドを実行するためにWindows Management Instrumentation(WMI)を使用し、持続性のためにシステム上にスケジュールされたタスクを設定するように設計されている。VBScriptのもう一つの注目すべき側面は、Dropbox接続のための設定データを動的に取得するためにGoogle Docsを使用し、スクリプト自体を変更することなくアカウント情報を変更できる点である。その結果ダウンロードされるPowerShellスクリプトは、システムに関する広範な情報を収集し、DropboxへのPOSTリクエストを介して詳細を抽出するように装備されている。このスクリプトの目的は、Dropboxを介してコマンドアンドコントロール(C2)サーバーと定期的に通信するためのツールとして設計されており、データの暗号化、抽出またはダウンロードが主な目的である。
【ニュース解説】
2024年3月18日に観察された新たな攻撃キャンペーンは、Windowsユーザーを標的にしており、PowerShellおよびVBScriptを用いたマルウェアを駆使して機密情報を収集するというものです。このキャンペーンは「DEEP#GOSU」と名付けられ、北朝鮮の国家支援グループであるKimsukyとの関連が指摘されています。セキュリティ企業Securonixによると、このキャンペーンで使用されるマルウェアペイロードは、特にネットワーク監視の観点から、Windowsシステム上で隠密に動作するように設計された複雑な多段階の脅威であると報告されています。
この攻撃キャンペーンの特徴は、DropboxやGoogle Docsなどの正規サービスを利用してコマンドアンドコントロール(C2)機能を実現し、通常のネットワークトラフィックに紛れて検出を避ける点にあります。これにより、攻撃者はマルウェアの機能を更新したり、追加モジュールを配信することが可能になります。
感染の出発点は、PDFファイルに偽装した悪意のあるZIPアーカイブが含まれた電子メール添付ファイルです。この.LNKファイルには、PowerShellスクリプトと偽のPDFドキュメントが埋め込まれており、PowerShellスクリプトはDropboxを介して別のスクリプトを取得し実行します。このプロセスを通じて、最終的にはリモートアクセストロイの木馬であるTruRatや、任意のVBScriptコードを実行するVBScriptなど、さまざまな機能を持つマルウェアがシステムに導入されます。
この攻撃キャンペーンの影響範囲は広く、特に企業や組織のセキュリティシステムにとって大きな脅威となります。攻撃者が機密情報を収集し、システムを遠隔操作する能力を持つことから、情報漏洩やシステムの乗っ取りなど、重大なセキュリティインシデントにつながる可能性があります。
このような高度な攻撃キャンペーンに対抗するためには、組織は定期的なセキュリティトレーニング、最新のセキュリティパッチの適用、不審なメールや添付ファイルの開封を避けるなどの基本的なセキュリティ対策を徹底する必要があります。また、正規サービスを悪用した攻撃に対しては、ネットワークトラフィックの監視を強化し、異常な通信パターンを検出する高度なセキュリティソリューションの導入が効果的です。
長期的な視点では、このような攻撃キャンペーンの出現は、サイバーセキュリティの重要性が高まっていることを示しています。企業や組織は、セキュリティ対策を継続的に更新し、進化する脅威に対応するための準備を怠らないことが求められます。また、国家支援のサイバー攻撃に対する国際的な協力と情報共有の強化も、今後の課題となるでしょう。
from New DEEP#GOSU Malware Campaign Targets Windows Users with Advanced Tactics.
“北朝鮮関連グループがWindowsを狙う: 機密情報収集の新キャンペーン発覚” への1件のコメント
このような高度なサイバー攻撃が行われていると聞くと、正直なところ、私のような年配の方には少々難しい話で戸惑ってしまいますね。しかし、息子や孫たちが使っているコンピューターやインターネットの安全性に関しては、とても心配になります。このDEEP#GOSUという攻撃キャンペーンが、北朝鮮の国家支援グループと関連があるとのことで、その複雑さや巧妙さには驚かされます。使われている手法が、私たちが日常生活でよく使うDropboxやGoogle Docsなどの正規サービスを利用している点が特に気になります。これでは、どのようなメールが安全で、どのようなメールが危険かを見分けるのが一層難しくなると思います。
特に、PDFファイルに偽装した悪意あるZIPアーカイブなど、見た目では判断がつかないような手口を使われると、普段からコンピューターを使っている私たち一般人では対処が難しいですね。私自身、メールの添付ファイルは見知らぬものは開かないようにしていますが、それでもこのような脅威から完全に守ることは難しいと感じます。
このニュース記事にあるように、セキュリティ対策は常に更新し、最新のセキュリティパッチを適用すること、不審なメールは開かないことが