DEEP#GOSU Attack Campaign Detection: North Korean Kimsuky APT Is Likely Behind Attacks Using PowerShell and VBScript Malware

悪意のあるサイバースパイ北朝鮮の Kimsuky APTグループ は、少なくとも2012年からサイバー脅威の舞台で注目を集めてきました。Kimsukyに関連する新たな多段階の攻撃キャンペーンであるDEEP#GOSUが注目を集め、Windowsユーザーに脅威をもたらし、ターゲットシステムに感染させるためにPowerShellとVBScriptマルウェアを活用しています。 

DEEP#GOSU攻撃キャンペーンを検出

昨年はAPTアクターの活動が大幅に強化され、既存の地政学的緊張がサイバードメインに直接的な影響を与えていることを反映しています。今回、サイバーセキュリティの専門家は、悪名高いKimsuky APTがDEEP#GOSU作戦を進行中にWindowsユーザーをますます標的にし、環境に対して広範な潜行アクセスを取得しようとしていることについて、組織や個人ユーザーに警告しています。 

攻撃に先手を打ち、侵入の可能性を開発の初期段階で特定するためには、サイバー守備者は高度な脅威検出とハンティングソリューションを必要とし、行動ベースの検出アルゴリズムを用いて敵対者のTTPsに対処する必要があります。集団的サイバー防衛のためのSOC Prime Platformは、DEEP#GOSUの検出を目指した専用の検出スタックを集約しながら、脅威調査を強化するための最先端のツールを幅広く提供しています。

以下の Explore Detections ボタンをクリックして、28のSIEM、EDR、XDR、およびデータレイクソリューションに対応する関連のSigmaルールのコレクションに即座にアクセスし詳細な脅威インテリジェンスとともに、多くのメタデータが付いています。  MITRE ATT&CK v14.1 にマップされています。

Explore Detections

セキュリティプロフェッショナルがKimsuky APTによって開始された攻撃を事前に食い止めるため、SOC Prime Platformは注目される脅威アクターに関連する悪質な活動をカバーする幅広いルールの選択を集約しています。グループ識別子に基づいて「Kimsuky」タグでThreat Detection Marketplaceを検索するか このリンクをたどる.

DEEP#GOSUマルウェアキャンペーン分析

Securonix脅威研究チームは最近、 DEEP#GOSUとして特定された進行中の攻勢作戦に光を当てました。この作戦は悪名高い北朝鮮 Kimsuky グループに関連している可能性が高いです。関連する脅威アクターは、サイバースパイ活動に強い重点を置いて、韓国に対する多数の標的型キャンペーンで観測されています。 

最新のキャンペーンでは、敵対者は複数のPowerShellおよびVBScriptステージを利用して、Windows システムに密かに侵入し、機密データを収集するために、洗練された新しいスクリプトベースの攻撃チェーンを活用しています。攻撃手法には、データの流出、キーの記録、クリップボードの監視、動的ペイロードの実行が含まれます。敵対者はスケジュールされたタスクを通じて持続性を維持し、全体的なリモート制御を得るために自己発動するPowerShellスクリプトとRATソフトウェアを使用します。

特筆すべきは、感染プロセスは、DropboxやGoogle Docsなどの正当なサービスをC2として利用し、通常のネットワークトラフィック内に悪意のある操作を偽装しながら検出を回避し、これらのクラウドサービスを使用してペイロードをホストすることで、マルウェアの機能を更新したり、追加のモジュールを配信したりすることを可能にします。

感染連鎖は、武器化されたメールの添付ファイルをZIPアーカイブで開くことによってトリガーされます。後者には、PDFファイルに偽装された難解なショートカットファイルが含まれています。悪意のあるLNKファイルには、PowerShellスクリプトが埋め込まれており、PDF文書のデコイが付いています。このスクリプトは攻撃者がコントロールするDropboxインフラストラクチャと通信し、別のPowerShellスクリプトを取得し実行します。

次のPowerShellスクリプトは、Dropboxから別のファイルを取得します。後者はTruRat（TutRatまたはC# R.A.T.としても知られる）と呼ばれるオープンソースのRATであるバイナリ形式の.NETアセンブリです。このマルウェアに加えて、PowerShellスクリプトはシステムでコマンドを実行し、持続性を確立するためにスケジュールされたタスクを作成することを意図した有害なVBScriptファイルも取得します。

さらに、このマルウェアキャンペーンに使用されたVBScriptは、Google Docsを悪用してDropbox接続のための設定データを動的に取得します。これにより、スクリプトを直接変更することなく、攻撃者はアカウント情報を変更することができます。ダウンロードされたPowerShellスクリプトは包括的なシステム情報を収集し、POSTリクエストを通じてDropboxにこのデータを送信して流出を実行します。バックドアとして機能し、侵害されたホストを制御しながらユーザーの活動を継続的に記録します。

高度なDEEP#GOSUキャンペーンで使用される隠密マルウェアのリスクと影響を最小化し、同様の脅威を効果的に未然に食い止めるために、防御者は外部ソースからのファイルや添付ファイルのダウンロードを避け、疑わしい活動について環境を継続的に監視し、検出カバレッジを強化するなどの最善のセキュリティプラクティスを適用することを推奨しています。 

悪名高いKimsuky APTによる高度な攻撃が大幅に増加し、政府機関を含む複数の業界セクターに潜在的な脅威をもたらしている中、防御者は標的となったAPTの侵入をタイムリーに阻止するために先制的なサイバーセキュリティ戦略を実施する方法を模索しています。 SOC PrimeのAttack Detectiveを活用して、セキュリティエンジニアはタイムリーにサイバー防御の盲点を特定し、これらのギャップに対処するために収集すべき適切なデータを特定し、SIEMのROIを最適化しながら、敵対者が攻撃を仕掛ける前に検出手順を優先することで、組織のサイバーセキュリティ体制を向上させることができます。