日本の組織を標的とするKimsuky APTキャンペーン検出

2024年初春以来、北朝鮮に関連する悪名高いハッカー集団で追跡されている Kimsuky APT は、標的を定めたキャンペーンを展開しており、 韓国の学術機関に対して攻撃を仕掛けています。ディフェンダーは日本の組織を積極的に狙ったこのグループの攻勢行動も解明しました。進行中の敵対キャンペーンはフィッシング攻撃ベクトルに依存しており、ハッカーはセキュリティや外交機関の送信者を装った標的型メールを活用しています。

日本を狙ったKimsuky攻撃を検知

北朝鮮のKimsuky APTグループは、特に東アジアにおいて攻撃の数と高度化を増しています。悪意のあるツールキットを継続的に強化し、Kimsukyの最近のキャンペーンでは TRANSLATEXT Chrome拡張機能をデータ盗難に利用し、新たに GomirというLinuxバックドア を導入して、韓国やその周辺諸国の組織を狙いました。

最近、セキュリティ研究者は、複雑な感染チェーンを使用して日本を積極的に狙った別のKimsukyキャンペーンを発見しました。この関連攻撃に対応するため、SOC Primeプラットフォームは、敵対者がこのキャンペーンで使用するTTPsに対応する一連の選別された検知を提供しています。

下の 検知を探る ボタンを押すだけで、専用のSigmaルールセットに直接アクセスできます。すべてのルールは30以上のSIEM、EDR、およびデータレイク技術と互換性があり、MITRE ATT&CK®フレームワークにマッピングされています。さらに、検知には広範なメタデータが付属しており、脅威インテリジェンスの参照、攻撃のタイムライン、およびトリアージの推奨事項を含めて、脅威調査をスムーズに進めることを支援します。

検知を探る

KimsukyのTTPsを詳細に分析したいセキュリティ専門家は、 Threat Detection Marketplace 内の「Kimsuky」タグを検索することで、または このリンク をたどってハッカー集団に関連するすべてのルールにアクセスすることで、追加の検出コンテンツを見つけることができます。

日本の組織を攻撃するKimsuky：キャンペーン分析

2024年3月、JPCERT/CCは、悪名高い北朝鮮連携の Kimsuky APTギャング による新しい悪意のある活動を発見し、その主な標的の中に日本の組織を含めています。攻撃キャンペーンに加え、 韓国の学術部門に対して、KimsukyのハッカーはEXEおよびDOCXファイルを介したフィッシング攻撃ベクトルを使用して日本の組織を攻撃し、侵害されたデバイスから機密データを盗もうとしています。

感染フローは、セキュリティおよび外交機関を装ったスピアフィッシングメールによってトリガーされます。メールにはダブルファイル拡張子を持つ武装ファイルを含むアーカイブが添付され、各ファイル名に多くのスペースが含まれて拡張子を隠しています。実行されると、メインのEXEファイルは外部ソースからVBSファイルをダウンロードし、wscript.exeで実行します。VBSファイルはさらに外部ソースからPowerShellスクリプトをダウンロードし、PokDoc関数を呼び出します。同じ悪意あるVBSファイルはレジストリのRunキーを設定して、システム起動時に自動的に隠しファイルを実行するようにし、永続性を確保します。

VBSファイルによってダウンロードされたPowerShellはキーロガーとして機能し、標的デバイスからシステムおよびネットワークの詳細、特定のユーザーフォルダ内のファイルリスト、ユーザーアカウントデータを盗むことを意図しています。敵対者は盗まれたデータを事前に定義されたURLに送信して、実行環境がサンドボックスか解析系かを確認します。さらに、スクリプトはパブリックディレクトリに別のVBSファイルを作成します。実行されると、追加のPowerShellコードをダウンロードし、特定のパラメータでInfoKey関数を呼び出し、検知回避を促進し攻撃者がステルス性のある永続性を維持するのを助けます。

Kimsukyはセキュリティ対策を回避し、進行中の攻撃を高度化しつつ、多様な攻撃能力を試しているため、組織はサイバー監視を強化することが不可欠です。 SOC Primeの完全な製品スイート は、AI駆動の検出エンジニアリング、自動化された脅威ハンティング、検出スタック検証のための最先端のソリューションを備えており、セキュリティチームに新たに出現する脅威から組織を最も困難にするリスクを最小限に抑える積極的なサイバー防御をサポートします。