Kimsuky APTの新しいキャンペーン検出: 北朝鮮のハッカーがMicrosoftコンパイルHTMLヘルプファイルを利用したサイバー攻撃を継続

DEEP#GOSU攻撃キャンペーンの DEEP#GOSU offensive campaign 北朝鮮のハッキング集団Kimsuky APTに関連付けられたこのグループは、再び注目を集め、対抗戦術技術手順（TTP）の変更を行っています。最近、Kimsukyがマルウェアを拡散し、影響を受けたインスタンスから機密データを収集するためにMicrosoft Compiled HTML Help（CHM）ファイルを使用していることが観測されています。

Kimsuky APTの最新攻撃を検出

ここ数ヶ月、Kimsuky APTはそのキャンペーンの範囲と洗練度が増していることから注目されています。世界中のサイバー防御者にとって重大な脅威をもたらし、KimsukyはそのTTPを絶えず変化させ、レーダーの下で悪意ある目標を達成しています。

Kimsukyの攻撃の可能性に備えるため、サイバーセキュリティ専門家は、最新の悪意あるキャンペーンに対応した信頼できる検出コンテンツと次世代のツールを組み合わせてセキュリティ操作を合理化することが必要です。SOC Prime Platformは、Kimsuky APTによる最新の悪意あるキャンペーンに対応したシグマルールを提供し、進化した脅威ハンティングと検出エンジニアリングのソリューションをサポートしています。

クリックするだけで 検出を探索 し、最新のKimsukyのTTPを特定するために設計された広範な検出スタックにアクセスできます。すべての検出は MITRE ATT&CK® フレームワーク v14.1に沿っており、実用的なメタデータと細かく選別された脅威情報で強化されています。

検出を探索

Kimsuky APTによる侵入を事前に防ぐため、SOC Prime Platformは、関連する敵活動を網羅したより広範な検出アルゴリズムを集約しています。「Kimsuky」タグをベースにして 脅威検出マーケットプレース で検索するか、 このリンク.

に従ってください

Rapid7の研究者 最近、新しい活動が観測されました 北朝鮮の著名な Kimsukyギャングに帰属しています。このハッキング集団は、サイバー脅威の分野で10年以上注目されており、主に情報収集に焦点を当てています。主な標的には、韓国の国家機関や北米、アジア、ヨーロッパの組織が含まれます。研究者たちは、検出を回避するためのKimsukyの新しいプレイブックを発見しており、グループのTTPの重大な変化と進化を示しています。

Kimsukyは複数の攻撃者技術を試行し、その対抗ツールキットを絶えず変化させています。最初はOfficeドキュメントとISOファイルを兵器化していましたが、昨年にはショートカットファイルの悪用に移行しました。例えば、最近の DEEP#GOSUというキャンペーンでは、PowerShellスクリプトを埋め込んだ有害なLNKファイルを使用し、感染チェーンを引き起こしました。最新の悪意あるキャンペーンでは、北朝鮮のハッカーがCompiled HTML Help（CHM）ファイルを使用してマルウェアを配布し、感染したホストからのデータ収集を行っています。

研究によると、Kimsukyの行為者は、ISO、VHD、ZIP、またはRARアーカイブを通じてCHMファイルを配布し、脅威行為者が検出回避を可能にしています。これらのファイルのいずれかを抽出して開くと、永続性を確立し、リモートサーバーに接続して次のペイロードを取得するVBScriptが実行され、機密データの収集と送信が可能となります。本来はヘルプドキュメント用に意図されていたCHMファイルは、開くとJavaScriptを実行できる能力があるため、攻撃者によってますます兵器化されています。

最近のキャンペーンで観測されたKimsukyの継続的な攻撃は、主に韓国にある組織に焦点を当てています。研究者たちは、CHMファイルから始まる代替感染チェーンをも明らかにしました。これはバッチファイルを投下し、情報収集を行い、C2サーバーとの接続を確立し、データ転送を促進するPowerShellスクリプトを引き起こすものです。

Kimsukyサイバー犯罪ギャングに関連付けられた巧妙な攻撃の増加と、グループの対抗技法の継続的な進化は、防御者がサイバーレジリエンスと積極的な対策を強化し、侵入のリスクを最小限に抑えることを促しています。SOC Primeの 攻撃探知システムを活用することで、前向きな組織はタイムリーにサイバー防御の盲点を発見し、それらを効果的に対処し、特に予想される攻撃を先取りして検出とハンティングの手続きを優先することができます。