最近 AhnLab Security Emergency response Center(ASEC)では、Kimsuky グループが韓国国内の特定国策研究機関の Web メールサイトと同じサイトを製作した状況を確認した。
ASEC は今年の初めに韓国国内の大型ポータルサイトである「NAVER [1] / kakao [2] のログイン画面に偽装した Web ページ」を紹介したことがある。当時、攻撃者が製作した偽のログインページには、貿易 / マスコミ / 対北朝鮮関連の人物と機関をターゲットにした ID が自動入力されていたが、今回も同じくこの機関の組織長の ID が自動入力されていることを確認した。
ユーザーがログインを試みると、社内 Web メールサイトのアカウント情報を確保することとなり、攻撃者にとってはユーザーのポータルサイトアカウント情報を確保するほどに有用なデータであると判断できる。
図1) 対北朝鮮業務担当者をターゲットに製作された Web メールログインページ
現在までに ASEC で確保した Reverse DNS データと関連 IP/ドメインおよび関連ファイルからみて、Kimsuky 組織によるものであると推定している。
最近、このように正常なサイトの Web ソースをそのまま使用してフィッシング攻撃に活用する事例が増えており、操作された多数のドメインを活用して、ポータルサイトおよび機関の Web メールインフラを詐称する Web サイトが確認され続けている。
ユーザーは Web メールシステムをはじめとした、別途ログインを要求する Web ページでログインを試みる時、アクセス URL と認証書が有効であるかと、真偽について再度確認する必要があり、別途外部の経路から渡された不明な URL への接続は避けなければならない。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] 今すぐ見る […]