Kimsuky

Kimsuky グループが使用する VNC マルウェア(TinyNuke、TightVNC)

ASEC 分析チームでは最近、Kimsuky 関連のマルウェアのモニタリング中に AppleSeed 遠隔操作マルウェアにより VNC マルウェアがインストールされる状況を捕捉した。 VNC は仮想ネットワークコンピューティング(Virtual Network Computing)と呼ばれる技術で、遠隔で他のコンピュータを操作する画面制御システムである。一般的によく使用される RDP…

kakaoTest.exe ファイル名の Kimsuky が製作したと推定されるマルウェア

最近 ASEC 分析チームは、Word ドキュメントを利用して APT 攻撃を試みるマルウェアの動向を継続的に把握しており、関連内容を共有している。今回は以前の記事で Kimsuky グループが製作・拡散していた「제헌절 국제학술포럼.doc (翻訳:制憲節国際学術フォーラム.doc)」、「제28차 남북관계전문가토론회***.doc (翻訳:第28回南北関係専門家討論会***.doc)」などのドキュメントファイルから生成されたマルウェアと同じコードを使用した不正なファイルが追加で確認されたため、その内容を共有する。このファイルはテスト段階のファイルと見られ、Kimsuky…

Metasploit の Meterpreter を利用した攻撃事例

Metasploit はペネトレーションテストを目的としたフレームワークである。企業や機関のネットワークおよびシステムに対するセキュリティの脆弱性をチェックする目的で使用可能なツールとして、ペネトレーションテストの各段階別に様々な機能をサポートしている。Metasploit は CobaltStrike のように、最初の感染のための様々な形のペイロード生成からアカウント情報奪取、内部ネットワークの移動を経てシステムを掌握するまでの段階ごとに必要な機能を提供している。 CobaltStrike は商用プログラムだが、クラック版が流出したことで攻撃者によって頻繁に使用されており、Metasploit は基本的に公開されたオープンソースであることにより、容易に使用できる。ここでは、Metasploit の Meterpreter が攻撃に使用された実事例を取り扱っていく。 Metasploit…