Gold Dragon Backdoor Detection: Kimsuky Hackers Strike Again Using Gold Dragon Malware

[post-views]
3月 25, 2022 · 7 分で読めます
Gold Dragon Backdoor Detection: Kimsuky Hackers Strike Again Using Gold Dragon Malware

北朝鮮のAPT Kimsukyによる最近のハッキングキャンペーンは、2022年1月後半に開始され、現在も進行中です。今回は、Kimsukyのハッカーは、特化されたマルウェアGold Dragonと共にインストールされた一般のオープンソースのリモートアクセスツール(RATs)を武器にしています。

Gold Dragon バックドアを検知

Gold Dragonマルウェアでシステムが侵害されたことを特定するには、当社の優れたThreat Bounty開発者が提供する次のルールを使用してください。 Furkan Celik and Osman Demir:

Quasar Gold Dragon検知(2月)(レジストリイベント経由)

この検知は、以下のSIEM、EDR、XDRプラットフォームでの翻訳を提供しています: Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Microsoft Defender ATP、Apache Kafka ksqlDB、および Open Distro。

このルールは、Persistence戦術を主なテクニック(T1547)としてBootまたはLogon Autostart Executionで解決する最新のMITRE ATT&CK®フレームワークv.10と一致しています。

炭素排出専門企業を標的にする疑わしい脅威アクターの活動(プロセス作成経由)

この検知は、以下のSIEM、EDR、XDRプラットフォームでの翻訳を提供しています: Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Microsoft Defender ATP、Apache Kafka ksqlDB、AWS OpenSearch、Securonix、およびOpen Distro。

このルールは、ExecutionおよびDefense Evasion戦術を解決する最新のMITRE ATT&CK®フレームワークv.10と一致しています。主なテクニックはCommand and Scripting Interpreter(T1059)、Signed Binary Proxy Execution(T1218)です。

SOC PrimeのプラットフォームにあるThreat Detection Marketplaceリポジトリ内のKimsuky APTに関連する全検知のリストが利用できます こちら.

SOC Primeは専門家に警告を促します ロシア支援のサイバー攻撃に対抗して ウクライナに対する軍事攻撃に伴うものです。SOC PrimeのQuick Huntモジュールにより、次のタグ#stopwar、#stoprussian、#stoprussianagressionに関連する脅威ハンティングコンテンツの広範なコレクションを効率的にナビゲートできます。指定された脅威ハンティングクエリは、以下のリンクを通じて無料で提供されており、チームが関連する脅威を即座に検索できます:

ロシア発の脅威を検知するためのハンティングコンテンツのフルコレクション

業界リーダーとつながり、自分のコンテンツを開発したいですか?SOC Primeのクラウドソーシングイニシアチブに参加し、SigmaやYARAルールを共有して、世界中のサイバーセキュリティコミュニティとの協力的なサイバー防衛を強化してください。

検知を表示 Threat Bountyに参加

Kimsuky APT 攻撃

Kimsuky, TA406としても知られる、2013年以来活動している北朝鮮関連のAPTグループです。1月後半に始まった最近のキャンペーンは、韓国の組織に対する標的型攻撃で一般のRATsを活用しているのが特徴です。一般のRATsを利用することで、脅威アクターは感染したマシンに利用可能な保護ツールや手順に基づいて、より具体的な機能を必要とする後段階のマルウェアの生成に注力できます。最新の攻撃では、ハッカーは痕跡を削除するためのxRATと共に追加のファイル(“UnInstall_kr5829.co.in.exe”)を配布しました。

According to ASECの研究者によれば、Kimsukyは、カスタムバックドアGold Dragonのバリエーションを使用しました。それは、独占的なインストーラー(“installer_sk5621.com.co.exe”)を通じてインストールされる第二段階のバックドアです。インストーラーは、マルウェアペイロードの持続性を確保するために新しいレジストリエントリを作成します(“glu32.dll”)。Gold Dragonバックドアの分析によれば、ハッカーは感染したマシンからデータを手動で盗むためにxRATツールをダウンロードするために使用しています。

厳しい時代には過激な対策が必要です! SOC PrimeのDetection as Codeプラットフォーム と協力して、グローバルなサイバーセキュリティ専門家のコミュニティの力を利用して脅威検知能力を強化してください。また、 SOC Primeのクラウドソーシングイニシアチブに貢献することで共同の専門知識を豊かにすることができます。自分のSigmaやYARAルールを作成して投稿し、プラットフォームに公開され、貢献に対して定期的な報酬を受け取りましょう。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している 8 分で読めます 最新の脅威 CVE-2025-8088 検出: WinRARゼロデイがロムコムマルウェアをインストールするために野放しに活動している by Daryna Olyniychuk CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 6 分で読めます 最新の脅威 CVE-2025-6558:Google Chromeゼロデイ脆弱性、実際の攻撃で悪用中 by Daryna Olyniychuk CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に 6 分で読めます 最新の脅威 CVE-2025-25257:FortiWebの重大なSQLインジェクション脆弱性により、認証不要のリモートコード実行が可能に by Veronika Telychko
すべてのニュース