概要

北朝鮮の脅威アクターである Konni が、フィッシングメールを送信して標的を攻撃し、被害者の KakaoTalk デスクトップアプリケーションにアクセスして特定の連絡先に悪意のあるペイロードを配布していることが確認されました。

攻撃の詳細

南韓の脅威インテリジェンス企業 Genians は、この攻撃を Konni と関連付けました。Genians Security Center (GSC) の分析によると、初期アクセスは、北朝鮮の人権講師として任命される通知という偽装メールを装った標的型フィッシングメールを送信することで達成されました。

攻撃の手順

• フィッシングメールを受信した被害者は、ZIP ファイルを含むメールの添付ファイルを開きます。
• ZIP ファイル内には Windows ショートカット (LNK) ファイルが含まれており、これが実行されると、次のステージのペイロードが外部サーバーからダウンロードされます。
• ペイロードはスケジュールされたタスクを使用して持続性を確立し、最終的にマルウェアを実行します。
• ユーザーに対して PDF ディスカッションドキュメントを表示して注意をそらす仕掛けがあります。

マルウェアの詳細

ダウンロードされたマルウェアは、AutoIt で書かれたリモートアクセストロイアン (RAT) で、EndRAT (EndClient RAT) と呼ばれています。このマルウェアは、ファイル管理、リモートシェルアクセス、データ転送、持続性などの機能を使用して、遠隔で侵害されたホストを操作することができます。

攻撃の影響

攻撃者は、被害者の KakaoTalk アプリケーションを悪用して、被害者の連絡先リストにある他の個人に ZIP ファイル形式の悪意のあるファイルを配布し、同じマルウェアを展開します。これにより、既存の被害者が新たな攻撃の仲介者となります。

結論

Genians は、このキャンペーンを単なる標的型フィッシングを越えた多段階攻撃オペレーションと評価しています。長期的な持続性、情報窃取、アカウントベースの再配布を組み合わせています。

元記事: https://thehackernews.com/2026/03/konni-deploys-endrat-through-spear.html