概要:北朝鮮系グループによる新たな攻撃手口
セキュリティ研究者たちは、北朝鮮に関連するKimsukyグループによる高度なリモートアクセス型トロイの木馬「KimJongRAT」が、悪意のある.htaファイルを介してWindowsユーザーを標的に活発に配布されていることを確認しました。この攻撃は、侵害されたマシンから機密性の高い認証情報やシステム情報を収集するために綿密に計画されたものです。
初期感染経路:巧妙なソーシャルエンジニアリング
この悪質なペイロードは、tax_notice.zipという圧縮アーカイブにNational Tax Notice.pdfという偽装ファイルとして配布されており、初期感染はフィッシングメールを通じて行われます。このソーシャルエンジニアリングの手口は、政府の税務通知に対する信頼を利用し、特にそのような通知が予想される地域のユーザーの関心を引くように設計されています。
ユーザーがアーカイブを解凍すると、正規の税務通知PDF文書を装ったLNKファイルに遭遇します。この難読化技術は、ユーザーを騙して悪質なペイロードを実行させようとします。実行されると、LNKファイルはMicrosoftのHTMLアプリケーションホストユーティリティであるmshtaを使用してBase64エンコードされたURL値をデコードし、追加のペイロードをダウンロードします。
マルウェアの実行と適応型ペイロード配信
侵害されたシステムは、その後tax.htaファイルにリダイレクトされ、感染チェーンを進行させます。tax.htaローダーはVBScriptで実装されており、攻撃の主要な実行メカニズムとして機能します。起動時に、GoogleドライブのURLを使用してセキュリティ保護を回避しようとしながら、悪質なファイルとデコイ文書をダウンロードします。この多段階アプローチにより、攻撃者は直接サーバー接続を疑わしいと判断する可能性のある従来のセキュリティソリューションによる検出を回避することができます。
この攻撃の重要な特徴は、その適応型ペイロード配信メカニズムです。マルウェアは、感染したシステム上のWindows Defenderのステータスを確認し、セキュリティソフトウェアが実行されているか無効になっているかに応じて異なるペイロードをドロップします。
- Windows Defenderが無効の場合:
v3.logファイルがダウンロードされ、最終的にn64.logファイルがダウンロードおよび実行されます。このファイルは、システム情報、ブラウザストレージデータ、暗号化キー、仮想通貨ウォレット情報、Telegramアカウント、Discord認証情報、ブラウザ暗号化キーなど、さまざまな侵害されたデータを収集します。 - Windows Defenderが有効の場合: 代わりに
PC.logファイルがダウンロードされます。この亜種は同様のデータ収集操作を実行しますが、継続的な認証情報の収集とユーザー情報の送信を確実にするために、レジストリの変更を介した追加の永続化メカニズムを備えています。
ユーザーによる脅威の検出と防止策
このマルウェアは国内市場に特化した強力な標的型特性を示しており、地域的な脅威アクター向けに精密に作成されたことを示唆しています。組織は、WindowsおよびWindows Defenderのアップデートを維持し、ファイルエクスプローラーでファイル拡張子表示機能を有効にし、特にメール通信で受信したファイルや拡張子を処理する際には注意を払うよう助言されています。ローカライズされた税務通知テンプレートや韓国語インターフェース要素の使用は、このキャンペーンが特定の地理的ターゲット向けに明確に設計されたものであり、日和見的なマルウェア配布ではないことを示しています。
最近の活動は、HTAベースの攻撃が依然として効果的な手法であることを裏付けています。このファイル拡張子により、mshtaを使用してインターネットから直接実行でき、Windows Secure Bootの警告をバイパスし、ファイル実行前に通常表示されるファイル拡張子のプロンプトを回避できます。この技術は、世界中の脅威アクターによって頻繁に展開される最も効果的な攻撃方法の1つです。
セキュリティ専門家は、このキャンペーンに関連する悪質なファイルが現在、セキュリティプラットフォーム全体でTrojan.Agent.LlhK.Gen、Trojan.Downloader.VBS.Agent、および関連する亜種として検出されていると警告しています。これにより、防御側はこれらの脅威を企業環境内で特定し、ブロックすることができます。