北朝鮮ハッカー集団「コニィ」の新たな脅威
北朝鮮のハッカー集団「Konni(別名:Opal Sleet、TA406)」が、AIによって生成されたPowerShellマルウェアを使用し、ブロックチェーン分野のエンジニアや開発者を標的とした攻撃を展開していることが明らかになりました。
KonniはAPT37やKimsukyなどの活動クラスターと関連しているとされており、少なくとも2014年から活動しており、これまで韓国、ロシア、ウクライナ、ヨーロッパ諸国の組織を標的としてきました。Check Pointの研究者による分析によると、今回の最新キャンペーンは、マルウェアが日本、オーストラリア、インドから提出されたことから、アジア太平洋地域のターゲットに焦点を当てていると考えられます。
攻撃のプロセスと巧妙な手口
攻撃は、被害者がDiscord経由でホストされたリンクを受け取ることから始まります。このリンクからは、PDFのルアー(おとり文書)と悪意のあるLNKショートカットファイルを含むZIPアーカイブが配信されます。
- LNKファイルの実行: 悪意のあるLNKショートカットファイルが、埋め込みPowerShellローダーを実行します。
- ペイロードの展開: PowerShellローダーは、DOCX文書と、PowerShellバックドア、2つのバッチファイル、およびUACバイパス実行ファイルを含むCABアーカイブを展開します。
- 攻撃の目的: フィッシング攻撃で用いられるルアーDOCX文書は、開発環境の侵害を示唆しており、これはハッカーがインフラ、API認証情報、ウォレットへのアクセス、そして最終的には暗号資産といった機密資産へのアクセスを狙っていることを示唆しています。
- 永続化の仕組み: 最初のバッチファイルはバックドア用のステージングディレクトリを作成します。そして、2番目のバッチファイルは、OneDriveのスタートアップタスクを装った時間ごとのスケジュールタスクを作成します。このタスクは、XOR暗号化されたPowerShellスクリプトをディスクから読み込み、メモリ内で復号して実行した後、感染の痕跡を消すために自己削除します。
AIが関与するマルウェアの解析
PowerShellバックドア自体は、算術ベースの文字列エンコード、ランタイム文字列再構築、そして「Invoke-Expression」を介した最終ロジックの実行などにより、高度に難読化されています。研究者たちは、このPowerShellマルウェアが「従来のオペレーターが作成したマルウェアというよりも、AIによる開発を強く示唆している」と述べています。
この結論に至った証拠としては、スクリプト上部に記載されている明確で構造化されたドキュメント(マルウェア開発では異例)、モジュール化されたクリーンなレイアウト、そして「# <– your permanent project UUID」というコメントが挙げられます。Check Pointは、「このフレーズは、LLM(大規模言語モデル)によって生成されたコードに非常に特徴的であり、モデルがプレースホルダー値のカスタマイズ方法を人間のユーザーに明示的に指示する際に頻繁に見られる」と説明しています。
実行前チェックとコマンド&コントロール
マルウェアは実行に先立ち、ハードウェア、ソフトウェア、ユーザーアクティビティのチェックを行い、分析環境での実行を回避しようとします。その後、一意のホストIDを生成し、侵害されたホスト上での実行権限に応じて異なる行動経路を辿ります。
バックドアが感染デバイス上で完全に動作すると、定期的にコマンド&コントロール(C2)サーバーと通信し、基本的なホストメタデータを送信します。そして、ランダムな間隔でサーバーをポーリングし、PowerShellコードが含まれるC2応答を受け取ると、それをスクリプトブロックに変換し、バックグラウンドジョブを介して非同期で実行します。
脅威アクターの特定と対策
Check Pointは、これまでのランチャー形式、ルアーファイル名とスクリプト名の重複、以前の攻撃との実行チェーン構造の共通性に基づき、これらの攻撃をKonniハッカー集団に帰属させています。研究者たちは、この最近のキャンペーンに関連する侵害の痕跡(IoC)を公開しており、防衛側が資産を保護するために活用することを推奨しています。