概要:Kimsukyグループによる巧妙な攻撃
セキュリティ研究者たちは、北朝鮮を後ろ盾とする脅威グループKimsukyによる巧妙な攻撃キャンペーンを明らかにしました。Kimsukyは政府機関やシンクタンクに対するスパイ活動で知られています。最近の分析により、脅威アクターがVisual Studio Codeの拡張機能とGitHubをコマンド&コントロール(C2)インフラとして悪用し、ランサムウェアの展開や広範なシステム偵察が可能な多段階マルウェアペイロードを配信していることが判明しました。この攻撃は、侵害されたシステムへの永続的なアクセスを維持しつつ、検出を回避するように設計された複雑な感染チェーンを特徴としています。
初期感染経路:Themes.jsと正規サービスの悪用
攻撃は、一見無害に見えるJavaScriptファイル『Themes.js』から始まります。これはKimsukyの感染チェーンのエントリーポイントとして機能します。この難読化されていないスクリプトは、敵対者が管理するインフラから追加のペイロードをダウンロードし実行するという、単一の重要な機能を実行します。このファイルは、侵害されたデバイスのコンピューター名とハードコードされたキー値をパラメータとして、iuh234[.]medianewsonline[.]comへのGETリクエストを開始します。このアプローチが特に懸念されるのは、正規のサービスの悪用です。攻撃者は、サブドメインホスティングプラットフォームであるMedian Newsを利用して、コマンドインフラを構築しました。プラットフォーム自体は悪意のあるものではありませんが、脅威アクターはこれを悪用して、悪意のあるペイロードをホストし、C2操作を実行するのに適したサブドメインを作成しました。
第2段階ペイロード:機密情報の収集と流出
第2段階のペイロードは、複雑さと機能において劇的なエスカレーションを示します。このJavaScriptコードは、機密性の高いシステム情報を収集するために設計された5つの異なる機能を実行します。マルウェアは、システム詳細の収集、実行中のプロセスの列挙、Usersディレクトリ内のファイルのカタログ化を行います。各データ収集操作の後には、攻撃者が制御するドメインへのPOSTリクエストを介したデータ流出が続きます。偵察段階では、洗練された運用セキュリティの実践が示されています。マルウェアは、収集したデータを一時ファイルに保存し、その後、certutil LOLBIN(Living Off The Land Binary)を使用してキャビネットファイルにエンコードします。これらのエンコードされたファイルはC2サーバーに送信され、攻撃者は最終段階のペイロードを展開する前に、侵害された環境の詳細なインベントリを維持することができます。
永続化メカニズム:スケジュールされたタスクの悪用
感染チェーンの第3段階では、システム再起動やユーザーの行動に関わらず、長期的なアクセスを保証する永続化メカニズムが導入されます。マルウェアは、『Windows Theme Manager』という名前のスケジュールされたタスクを確立し、1分ごとにwscript.exeを呼び出して最初のThemes.jsペイロードを再実行します。このタスクは、%APPDATA%\Microsoft\Windows\Themesディレクトリに永続的なコードを書き込み、再起動後も継続的な実行を保証します。さらに、脅威アクターは、ソーシャルエンジニアリングの誘いとして『E-CARD.docx』というタイトルのWord文書を展開します。この文書の分析では、マクロ機能のない空のファイルであることが判明しましたが、その存在は、攻撃者が配信メカニズムをテストしているか、より洗練された第2段階の展開を準備している可能性を示唆しています。
結論と推奨事項
このキャンペーンは、Kimsukyおよび同様の国家支援型脅威アクターが採用する高度な戦術を浮き彫りにしています。JavaScriptベースのペイロード、インフラとしての正規ホスティングサービスの利用、および多段階の配信メカニズムは、従来のセキュリティソリューションにとって大きな課題を生み出します。組織は、不審なJavaScriptの実行、異常なスケジュールタスクの作成、および正規の外部サービスへの予期せぬネットワーク通信の監視を優先すべきです。ペイロード展開前のデータ流出に焦点を当てていることから、これらの活動は、ランサムウェアの展開や高価値ターゲットに対するスパイ活動に先行している可能性が示唆されます。