概要
Konni APTは最近、マルウェアを用いた多段階攻撃キャンペーンを実施し、KakaoTalkアカウントをハイジャックしてリモートアクセストロイansomware(RAT)を拡散しました。この攻撃は、高度にターゲットを絞った標的型フィッシングを用いて行われました。
攻撃の手口
攻撃者は、受信者の役割に合わせたコンテキスト情報を用いたメッセージを送り、受信者が添付ファイルを開くように誘導しました。その添付ファイルには、ドキュメントとして偽装された悪意のあるLNKショートカットが含まれており、実行するとPowerShellベースのドロッパーがインストールされ、デコイPDFが開かれます。
長期的な潜伏と情報漏洩
攻撃者は、長期的な潜伏を維持し、内部文書、アカウント詳細、システム情報などを静かに漏洩しました。
攻撃の初期段階
攻撃は、受信者を北朝鮮の人権講師として任命する公式通知を装ったメールから始まりました。フォレンジック解析では、攻撃者がスケジュールされたタスクを登録し、