セキュリティ研究者によると、サイバー犯罪集団Kimsukyがマルウェアの配布に悪意のあるLNKファイルを使用し、WindowsタスクスケジューラとDropboxを悪用してPythonベースのバックドアを展開していることが明らかになりました。
マルウェアの配布手法
Kimsukyは複数段階の悪意のあるLNKファイルを使用し、最終的なペイロードであるPythonスクリプト(can.py)とスタンドアロンのPythonインタプリタを含むZIPファイルをデプロイします。このキャンペーンでは、WindowsタスクスケジューラやDropboxが悪用され、検出を回避しながら感染システム上で持続性を維持しています。
最近の活動では、KimsukyはLNK → PowerShellという初期ステージを維持しつつ、単純なBATスクリプト中心の中間段階からより複雑なXML → VBS → PS1 → BAT連鎖に置き換えています。
バックドアの展開
このマルウェアは「Resume (Sungmin Park).hwp.lnk」や「Guide to Establishing Data Backup and Recovery Procedures (Reference).lnk」といった偽装ファイル名を使用して、Windowsタスクスケジューラに登録されたタスクを介してPythonバックドア(beauty.py)を展開します。
このキャンペーンでは、Kimsukyは既存のLNK → PowerShell → BATの流れから、より複雑なLNK → PowerShell → (XML → VBS → PS1 → BAT)モデルに移行しています。さらに、クラウドサービスを悪用し、Pythonを使用して従来のWindowsマルウェアシグネチャを回避します。
バックドアの機能
Kimsukyが展開するPythonバックドアは、成功した感染を示すために「HAPPY」という文字列を含むパケットをコマンド&コントロール(C2)サーバーに送信します。その後、独自の4096バイトプロトコルを使用して通信を行い、ディスクのエnumerage、任意のシェルコマンドの実行、ファイルのアップロードとダウンロード、ファイルの安全な削除などの機能を提供します。
防御者のための対策
このキャンペーンでは、タスクスケジューラXMLインポート、不審なフォルダ(C:\windirrやC:\winii)、エンドポイントからのDropboxベースのトラフィック、ユーザーディレクトリ内のバンドルされたPythonインタプリタの存在などを監視することが重要です。