The Hacker Newsは2月13日(現地時間)、「North Korean APT43 Uses PowerShell and Dropbox in Targeted South Korea Cyberattacks」において、北朝鮮の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「APT43(別名: Kimsuky、Black Banshee)」が韓国の企業、政府、暗号通貨部門を標的にサイバー攻撃キャンペーンを実施していると報じた。
これはSecuronixの脅威調査チームにより発見されたキャンペーンで、標的環境への侵入に成功しているとされる(参考:「Analyzing DEEP#DRIVE: North Korean Threat Actors Observed Exploiting Trusted Platforms for Targeted Attacks - Securonix」)。
-
North Korean APT43 Uses PowerShell and Dropbox in Targeted South Korea Cyberattacks
侵害経路
調査レポートによると、初期の侵害経路は詐欺メールだという。メールの入手には失敗したが、添付ファイルの入手に成功したとして分析している。
添付ファイルはZIPファイルと見られ、作業ログ、保険関連、暗号関連をテーマにした.hwp(韓国で普及しているワープロソフト)、.xlsx、.pptxなどの韓国語のファイルが含まれるという。これらは正規の文書に似せて作られており、被害者を信用させる目的があるとされる。
ZIPファイルにはこれら文書の他に悪意のあるリンクファイルが含まれている。リンクファイルはドキュメントやPDFファイルに見えるよう偽装されており、実行すると悪意のあるPowerShellスクリプトが実行される。
スクリプトはDropboxからおとりの文書をダウンロードして表示し、リンクファイルの実行を隠蔽する。次にタスクを作成することで永続性を確保し、2つのPowerShellスクリプトをDropboxからダウンロードして実行する。
2番目のスクリプトはシステム情報を収集してDropboxに送信し、不要なファイルを削除して侵害を隠蔽する。3番目のスクリプトはさらにスクリプトをダウンロードして実行する。この最後のスクリプトはDropboxから細工されたgzipペイロードをダウンロードし、展開する。
最終的に展開されるファイルは.NETアセンブリで、ロードされた後にMainメソッドが実行される。Mainメソッドはペイロードを削除して何かしらの処理を続行するが、Securonixはこの先の調査について分析に失敗している。そのため、マルウェアの詳細は明らかになっていない。しかしながら、遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の可能性が高いとしている。
-
侵害経路 引用:Securonix
影響と対策
Securonixはスクリプトに含まれるDropboxのOAuthトークンを取得し、攻撃者のインフラストラクチャを分析している。しかしながら、この調査が攻撃者に検出されたとみられ、関連するリンクが削除されたことでマルウェアの調査などに失敗している。
それでもファイルの一部の取得に成功しており、2024年9月以降に保存された約9,000件(重複あり)の被害者のシステム情報と、複数のおとり文書を入手している。
-
入手したおとり文書一覧の一部 引用:Securonix
これらおとり文書から韓国の企業、政府、暗号通貨部門が標的と推測されている。また、他のサイバー攻撃キャンペーンの活動分析から、APT43(Kimsuky)が本件キャンペーンの主要な構成グループと断定されている。
Securonixはこの攻撃が詐欺メールおよびZIPファイルに依存しているとして、添付ファイルや外部ソースからファイルをダウンロードしないように推奨している。特に緊急性を訴える内容のメールやメッセージには警戒が必要だと指摘している。
調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)が公開されており、必要に応じて活用することが望まれている。
Ankerモバイルバッテリーがリコール
