BabyShark攻撃キャンペーン
サイバーセキュリティ研究者らは、北朝鮮のハッカー集団「Kimsuky」による攻撃が継続的かつ進化していることを明らかにした。彼らは「ClickFix」と呼ばれる精巧なソーシャルエンジニアリング手法を用いて、「BabyShark」マルウェアを拡散させている。これらの攻撃は国家安全保障の専門家を標的とし、人的欺瞞と技術的ステルスの両方を駆使して、被害者のシステムへの長期的なアクセスを獲得している。
目次
スピアフィッシングのルアーで専門家を狙う
Kimsuky脅威グループは2025年1月からスピアフィッシングメールを積極的に展開しており、当初は韓国の国家安全保障専門家を標的としていました。攻撃者は正規のドイツ語ビジネス出版物の担当者を装い、偽のインタビュー依頼で被害者を誘惑します。これらのメールには悪意のあるRARアーカイブへのリンクが含まれており、これを開くとVisual Basic Script(VBS)が展開されます。このスクリプトは、正規のファイルのように見せかけた偽のGoogleドキュメントファイルを起動し、スケジュールされたタスクを通じて持続性を確立し、システム情報を窃取するためのコードをひそかに実行します。
欺瞞的なペルソナと改良されたClickFixの亜種
2025年3月までに、キムスキーは米国の国家安全保障高官を装うことで活動をエスカレートさせました。新たなフィッシングメールには、偽造された会議の質問リストが記載されたPDFが添付されており、受信者は「認証コード」を入力させられ、本来安全なコンテンツにアクセスさせられました。これは、ClickFixの手法が、偽のエラー修正からコードの入力へと移行したことを示しており、正当性への錯覚を強めています。
2025 年 4 月には、今度は日本の外交官になりすまし、駐米日本大使との会談提案に言及する別の亜種が出現しました。この攻撃では再び、おとりの Google ドキュメント ページを使用して難読化された PowerShell コマンドの実行を隠し、持続的な C2 通信による継続的なデータ流出とペイロードの展開を可能にしました。
偽の求人ポータルとポップアップ広告を武器にする
さらに巧妙な手口として、キムスキーは防衛研究関連の求人ポータルを装った偽ウェブサイトの利用を開始しました。これらのサイトには偽の求人情報が表示され、クリックするとClickFix風のポップアップが表示され、Windowsの「ファイル名を指定して実行」ダイアログを開いてPowerShellコマンドを実行するようユーザーに促します。
このコマンドはユーザーにChromeリモートデスクトップのインストールを指示し、攻撃者はC2ドメインkida.plusdocs.kro.krを介してSSH経由で完全なリモートアクセスを取得できました。C2サーバーの設定ミスにより、侵害された韓国のシステムから流出したとみられる被害者のデータが漏洩しました。さらに、このインフラにリンクされた中国のIPアドレスには、キーロギングログと、複雑な多段階のチェーンを通じてBabySharkを配信するProton DriveのZIPアーカイブが含まれていました。
最近のイノベーション: 偽CAPTCHAとAutoItの展開
Kimsukyは2025年6月という早い時期から、偽のNaver CAPTCHA認証ページを悪用し始めていました。これらの偽ページは、ユーザーにPowerShellコマンドを「実行」ダイアログに貼り付けるよう指示し、AutoItスクリプトを実行して機密情報を収集していました。これは、このグループがスクリプトベースのツールとソーシャルエンジニアリングを巧みに利用し、被害者の環境で足場を維持していることをさらに示しています。
拡大するフィッシング攻撃:学術的偽装とHWP攻撃
ClickFix以外にも、Kimsukyは学術的な通信を装ったフィッシング攻撃にも関与していることが判明しています。これらのメールは研究論文の査読依頼を装い、パスワードで保護されたハードウェア/ソフトウェアのドキュメントが添付されています。開封されると、悪意のあるドキュメントは埋め込まれたOLEオブジェクトを利用してPowerShellスクリプトを実行します。このスクリプトは詳細なシステム偵察を行い、正規のリモートデスクトップツールであるAnyDeskを展開することで、永続的なリモートアクセスを維持します。
重要なポイント:戦術とテクニックの概要
Kimsuky のソーシャル エンジニアリング攻撃は、次のものに依存しています。
- 信頼できる人物や機関(ジャーナリスト、外交官、学者)のなりすまし
- 悪意のあるアクティビティを隠すためのおとりファイル(Googleドキュメント、PDF、HWPドキュメント)の使用
- 偽のエラー、認証プロンプト、または CAPTCHA ページを通じてユーザーを操作し、PowerShell コマンドを実行させる
キャンペーンの技術的な特徴は次のとおりです。
- スケジュールされたタスクとリモート アクセス ソフトウェア (AnyDesk、Chrome リモート デスクトップ) による永続的なアクセス
- BabySharkマルウェアの多段階配信
- AutoItのようなスクリプトベースの自動化ツールの使用
- インフラの脆弱性を悪用し、盗まれた被害者のデータを露出させる
結論:常に進化する脅威
BabySharkキャンペーンは、Kimsukyがソーシャルエンジニアリングの手法を進化させ、正規のソフトウェアと公共インフラを悪意ある目的で利用する機敏さを如実に示しています。ClickFix戦略は、脅威アクターがシステムの脆弱性だけでなく、人間の行動も悪用し続けていることを浮き彫りにしています。このような高度な脅威アクターによるリスクを軽減するには、警戒、多層防御戦略、そしてユーザー教育が依然として不可欠です。
