北朝鮮に関連するサイバー攻撃グループ「Kimsuky」(別名Black Banshee、Emerald Sleet、Springtail)が、機密データを収集するためのマルウェアを配布するベクトルとして、コンパイルされたHTMLヘルプ(CHM)ファイルの使用にシフトしていることが観察された。Kimsukyは2012年以降に活動しており、主に韓国、北米、アジア、ヨーロッパに位置するエンティティを標的としている。サイバーセキュリティ企業Rapid7によると、攻撃チェーンはこれまでに、マイクロソフトオフィス文書、ISOファイル、Windowsショートカット(LNK)ファイルを武器化したものを利用しており、CHMファイルもマルウェアを展開するために使用されている。CHMファイルはISO、VHD、ZIP、RARファイル内で伝播し、開かれるとJavaScriptを実行できるため、悪意のある目的で悪用されている。
Rapid7は、攻撃が進行中であり、進化していると述べ、韓国に拠点を置く組織を標的としている。また、CHMファイルを起点としてバッチファイルをドロップし、情報を収集し、C2サーバーに接続してデータを転送するPowerShellスクリプトを使用する別の感染シーケンスも特定している。Broadcom傘下のSymantecは、Kimsukyが正規の韓国公共機関のアプリケーションを装ったマルウェアを配布していると明らかにした。一度侵害されると、ドロッパーはEndoorバックドアマルウェアをインストールし、攻撃者が被害者から機密情報を収集したり、追加のマルウェアをインストールしたりすることを可能にする。
国連は、2017年から2023年にかけて北朝鮮の国家主導のアクターによって実施されたと疑われる58件のサイバー攻撃を調査しており、これらの攻撃が違法な収益を3億ドルもたらし、北朝鮮がその核兵器プログラムをさらに発展させるのに役立っていることが指摘されている。報告書によると、Kimsukyはフィッシングメールの作成などに大規模言語モデルを含む生成型人工知能の使用に関心を示しており、ChatGPTの使用が観察されている。
【ニュース解説】
北朝鮮に関連するサイバー攻撃グループ「Kimsuky」が、機密データを収集するための新たな手法として、コンパイルされたHTMLヘルプ(CHM)ファイルを利用する戦術に移行していることが明らかになりました。このグループは2012年以降に活動を開始し、主に韓国をはじめとする北米、アジア、ヨーロッパの組織を標的にしています。
CHMファイルはもともとヘルプ文書用に設計されましたが、JavaScriptを実行できる特性を悪用され、マルウェアの配布に使用されています。攻撃者は、ISO、VHD、ZIP、RARファイル内にCHMファイルを潜ませ、被害者がこれらのファイルを開くことで、マルウェアのインストールや機密データの収集を行うスクリプトが実行されるようにしています。
この攻撃手法の変更は、Kimsukyがその攻撃技術を進化させ、より効果的に標的の情報を収集しようとしていることを示しています。また、このグループは、正規の韓国公共機関のアプリケーションに見せかけたマルウェアを配布することで、被害者を騙し、Endoorバックドアマルウェアをインストールしています。これにより、攻撃者は被害者の機密情報を収集したり、追加のマルウェアをインストールしたりすることが可能になります。
さらに、国連は北朝鮮によるサイバー攻撃が違法な収益を生み出し、その核兵器プログラムの発展に役立っていると指摘しています。Kimsukyが生成型人工知能、特に大規模言語モデルを使用してフィッシングメールを作成するなど、技術の進化に伴い攻撃手法も洗練されていることが示されています。
このような攻撃手法の変化は、サイバーセキュリティの専門家や組織にとって新たな課題を提示します。特に、CHMファイルのような一見無害なファイル形式が悪用されることで、従来のセキュリティ対策を回避されるリスクが高まります。組織は、従業員への教育強化、セキュリティソフトウェアの更新、不審なファイルの開封を避けるなどの対策を講じることが重要です。
また、Kimsukyが示すように、国家支援のサイバー攻撃グループは技術の進化に合わせて攻撃手法を進化させており、国際的な協力と情報共有がこれらの脅威に対抗するために不可欠です。サイバーセキュリティは常に変化する分野であり、攻撃者との間の継続的な競争が求められます。
from N. Korea-linked Kimsuky Shifts to Compiled HTML Help Files in Ongoing Cyberattacks.
