JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は7月8日、「日本の組織を狙った攻撃グループKimsukyよる攻撃活動 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、韓国企業を主な標的とする脅威グループ「Kimsuky」が国内の組織を標的にサイバー攻撃を実行したとして注意を喚起した。この攻撃は2024年3月に確認されたものだが、JPCERT/CCは今後も同様の攻撃が継続する可能性があると指摘している。
Kimsukyの攻撃手法
JPCERT/CCによると、2024年3月に確認された事案においてKimsukyは主に安全保障、外交関係の組織を装ったスピアフィッシング攻撃を使用したという。送付されたメールにはアーカイブファイルが添付されており、次に示すように2重の拡張子のファイルを複数含んでいたとされる。
- ファイル1.docx[大量のスペース].exe
- ファイル2.docx[大量のスペース].docx
- ファイル3.docx[大量のスペース].docx
これらファイルは拡張子間に大量のスペースを挟むことで本来の拡張子(後者)を画面外にはみ出させ、隠蔽する手法を使用している。ユーザーが本来の拡張子に気が付かずにファイルを開こうとすると、実行可能ファイルを実行することになり最終的にマルウェアに感染する。
影響と対策
この攻撃では侵害の過程で次の情報が窃取される。
- システム情報
- プロセスの一覧
- ネットワーク情報
- 特定のユーザーフォルダ内にあるファイルの一覧(Downloads、Documents、Desktop)
- ユーザーアカウント情報
最終的に展開されるマルウェアはPowerShellスクリプトのキーロガーとされ、クリップボード情報も窃取可能とされる。また、レジストリーを使用した自動起動による永続性を持つ。
この攻撃ではスクリプトを「C:\Users\Public\Pictures\desktop.ini.bak」として保存し、窃取したキーログを「C:\Users\Public\Music\desktop.ini.bak」として保存する特徴がある。セキュリティ担当者にはこれらファイルが存在しないか調査することが望まれている。