AhnLab は2022年4月29日金曜日の夕方ごろ、「北朝鮮の4.25観兵式に関する内容の不正な Word ドキュメントの拡散」というタイトルの解析情報を ASEC ブログに公開した。
[+] 観兵式の内容に偽装したマルウェア解析情報:https://asec.ahnlab.com/jp/33933/
本レポートでは、上記の解析情報に説明されている主な特徴(C2、Web シェルなど)と類似したパターンを持っている Kimsuky グループのハッキング活動(C2 運営、管理、ハッキングメール送信、マルウェア配布など)について約17カ月にかけて追跡および解析した内容を基に、Kimsuky グループのハッキング活動が北朝鮮、政治、外交、安保分野に従事する特定人物や組織のメールアカウントおよび重要な資料を窃取する目的でフィッシング、マルウェアを添付したハッキングメールを送信する上、目的達成のために隠密かつ執拗にハッキングしたという点から今回の作戦を「Operation Covert Stalker」と命名した。そして Kimsuky グループの仕業と判断した根拠についても説明している。
[+] レポート要約
– 北朝鮮、政治、外交、安保分野に従事する特定人物や組織に正常な URL に偽装したフィッシングまたはマルウェアを添付したハッキングメール送信。
– Windows システムは RDP 脆弱性(CVE-2019-0708)、脆弱なサイトは未詳の脆弱性を悪用してハッキング。
– 接続の持続性を確保する目的で RDP 接続用のアカウント作成、RDP Wrapper、Quasar RAT、Ammy RAT、AnyDesk、TeamViewer など、リモート管理プログラムの追加インストール。
– ハッキングの対象検索、ハッキングメール送信、RDP 脆弱性(CVE-2019-0708)スキャニング、マルウェアテストなど、様々な不正な振る舞い実行。
– BlackBit ランサムウェアに感染させた後、復旧費用の支払い誘導。
– Web シェル(Green Dinosaur、WebadminPHP、未詳など)を通して C2 構築、管理、運営。
– 一部のマルウェアに「련동(訳:連動)」、「봉사기(奉仕機, 訳:サーバー)」、「대면부(対面部、訳:インターフェイス)」など、北朝鮮式の表現が存在。
[+] レポートダウンロード(韓国語のみ提供):20231101_Kimsuky_OP. Covert Stalker
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報