北朝鮮のハッカーグループ、キムスキー。かねてより韓国や日本を標的にしていると言われていましたが日本に対する攻撃実態は必ずしも明らかではありませんでした。しかし、JPCERTはキムスキーによる日本の組織を狙った攻撃を確認したとして最近、その攻撃手法に関するレポートを発表しました。
スピアフィッシングの王
パロアルトネットワークスの脅威分析チームUnit42によると、キムスキーにはスピアフィッシングの王というニックネームがあるそうです。スピアフィッシングとは、特定の個人や組織を狙った攻撃をいいます。フィッシングが不特定多数にメールをばらまく攻撃なのに対し、スピアフィッシングは狙った人や組織に対してメールを送信する攻撃です。スピアフィッシングの王と言われているということですから、キムスキーはスピアフィッシングに非常にたけているハッカーグルーブのようです。
JPCERTのレポートによると、JPCERTは今年3月に日本の組織に対して安全保障や外交関係の組織を騙ったメールが送信されたことを確認しているということです。送られてきたそれらメールには圧縮ファイルが添付されており、圧縮ファイルを展開するとEXEファイルが実行されて外部からVBSファイルがダウンロードされ、さらにデバイスの情報を収集する機能を有したPowerShellがダウンロードされるということです。ダウンロードされたPowerShellは収集した情報を指定されたURLに送信する機能があるということです。JPCERTのレポートによると、この情報収集は侵害しようとしているデバイスのセキュリティ環境を確認することが目的のようです。ダウンロードされたPowerShellはキーロガーとしても機能しキーストロークとクリップボードの情報を指定されたURLに送信するということです。
こうしたサイバー攻撃に至る不正なメールが安全保障や外交関係の組織名で今年3月に日本の組織に対して送られてきたということなのですが、JPCERTはこのメールがどうして北朝鮮のハッカーグループであるキムスキーの仕業だと判断したのでしょうか? その根拠としてJPCERTのレポートがあげているのが韓国のAhnLabセキュリティインテリジェンスセンター〈ASEC〉のレポートです。ASECのレポートによると、韓国国内ではLNK、DOC、OneNoteなどさまざまなファイル形式で配布されているマルウェアがあり、昨年はHWPドキュメントファイル、今春はCHMでの配布が確認されているということです。ファイルとともに配布される圧縮ファイルの中にあるEXEファイルが実行されると、VBSファイルが生成され、VBSファイルがPowerShellを通じてキーロガーとして機能し、またユーザーの認証情報を窃取するということです。
韓国で確認されたマルウェアが日本でも
ASECは、過去にキムスキーによって配布されたマルウェアを分析しており、今春、韓国内で配布されたマルウェアについてもスクリプトがこれまでのキムスキーのマルウェアと同じであったことなどから、キムスキーのマルウェアだと判断しています。JPCERTのレポートはASECの分析を受けて、同時期に日本国内で確認されたメールについても同様のツールが使われていることやマルウェアとしての機能が同じであることなどからキムスキーによる攻撃と判断しているようです。
これに関連してパロアルトネットワークスの脅威分析チームUnit42は、JPCERTが報告したキーロガーとして機能するPowerShellのコマンドアンドコントロール〈C2〉のインフラストラクチャを追跡調査し、新たに2つのマルウェアサンプルを発見したとしてレポートを発表しています。新たに発見されたマルウェアの1つはキーロガーで作成者によってKlogEXEと呼ばれており、もう1つはバックドアのFPSpyで、FPSpyは2022年にASECが確認したポータルサイト関連ファイルに偽装した情報漏洩型マルウェアの亜種だということです。
【出典】
https://blogs.jpcert.or.jp/ja/2024/07/kimsuky.html
ユーザー情報を窃取する CHM マルウェア、韓国国内で拡散
https://unit42.paloaltonetworks.com/kimsuky-new-keylogger-backdoor-variant/