北朝鮮関連グループ、韓国組織を狙う複雑な8段階サイバー攻撃実行

Last Updated on 2024-03-19 10:35 by 荒木 啓介

北朝鮮に関連する脅威グループKimsukyが、合法的なクラウドサービスを悪用し、回避型マルウェアを使用して、韓国の組織に対するサイバー攻撃と金融犯罪を行うために、より長い8段階の攻撃チェーンを採用した。このキャンペーンは「DEEP#GOSU」と名付けられ、攻撃者は「土地から生きる」戦略に重点を置き、.NETアプリケーションのための合法的なコードコンポーネントである.NETアセンブリをインストールするコマンドを使用して攻撃者のツールキットの基盤を作成した。

攻撃者は、電子メールに添付されたLNKファイル、Dropboxからダウンロードされるコマンドスクリプト、PowerShellおよびVBScriptで書かれたコードを使用して攻撃を行った。一般的なサイバー攻撃は5段階以下を使用するが、DEEP#GOSUキャンペーンは8段階を使用した。攻撃者は、アンチウイルススキャナーや他の防御技術によって検出される可能性のあるツールを使用しながら、検出を回避することを積極的に目指した。

攻撃の第1段階は、ユーザーが電子メールに添付されたLNKファイルを開くと実行され、DropboxからPowerShellコードをダウンロードする。第2段階で実行されるコードは、Dropboxから追加のスクリプトをダウンロードし、リモートアクセストロイの木馬であるTutClientをインストールするように侵害されたシステムに指示する。Dropboxや後の段階でGoogleの使用は、検出を避けるのに役立つ。

攻撃の後半の段階では、数時間ごとにランダムに実行されるスクリプトをインストールし、システムの監視と制御を支援し、持続性を提供する。最終段階では、侵害されたシステム上でキーストロークを記録することにより、ユーザー活動を監視する。この多段階攻撃は、複数の防御層の利点を強調している。

【ニュース解説】

北朝鮮に関連する脅威グループであるKimsukyが、韓国の組織を対象に、合法的なクラウドサービスを悪用し、回避型マルウェアを使用した複雑な8段階の攻撃チェーンを採用したことが明らかになりました。この攻撃キャンペーンは「DEEP#GOSU」と名付けられ、攻撃者は.NETアセンブリという合法的なコードコンポーネントを利用して、攻撃の基盤を構築しました。攻撃は、電子メールに添付されたLNKファイルやDropboxからダウンロードされるコマンドスクリプト、さらにはPowerShellやVBScriptで書かれたコードを使用して行われました。

この攻撃は、一般的なサイバー攻撃が5段階以下であるのに対し、8段階に及ぶ複雑さを持っています。攻撃者は、アンチウイルススキャナーや他の防御技術による検出を回避することを積極的に目指しました。特に、DropboxやGoogle Docsなどの合法的なサービスを通じてC2（コマンド＆コントロール）通信を行うことで、マルウェアが通常のネットワークトラフィックに紛れて検出を避けることが可能になりました。

この攻撃の特徴は、システムの監視と制御を支援し、持続性を提供するために、数時間ごとにランダムに実行されるスクリプトをインストールする点にあります。最終段階では、侵害されたシステム上でキーストロークを記録し、ユーザー活動を監視します。

このような多段階攻撃は、複数の防御層を持つことの重要性を強調しています。特に、電子メールセキュリティゲートウェイが大きなファイルサイズのLNKファイルをブロックする可能性があるなど、特定のセキュリティツールだけに依存しない、防御の深さを持つことが推奨されます。

この攻撃キャンペーンは、サイバー攻撃の手法がますます巧妙化していることを示しており、組織は常に最新の脅威に対して警戒し、適切なセキュリティ対策を講じる必要があります。また、合法的なクラウドサービスを悪用する手法は、サイバーセキュリティの専門家にとって新たな課題を提起しており、これらのサービスを利用する際のセキュリティ対策の強化が求められます。

from North Korea-Linked Group Levels Multistage Cyberattack on South Korea.