ドリアンマルウェア

北朝鮮の脅威グループ Kimsuky は最近、韓国の暗号通貨企業 2 社を標的とした特定のサイバー攻撃で、Golang ベースの新しいマルウェア Durian を使用しました。Durian は広範なバックドア機能を備えた高度なマルウェアで、コマンドの実行、ファイルのダウンロード、侵害されたシステムからのデータの収集が可能です。

Durianマルウェアの感染経路

この事件は2023年8月と11月に発生し、感染手段として韓国限定の正規ソフトウェアが悪用されました。このソフトウェアを悪用するために使用された具体的な手法は、研究者によってまだ完全には解明されていません。

わかっていることは、このソフトウェアが攻撃者のサーバーとの通信を確立し、その後、安全でないペイロードを取得して感染プロセスを開始するということです。最初の段階では、さらなるマルウェアのインストーラーとして機能し、感染したホスト上での永続性を確立します。また、最終的に Durian の実行をトリガーするローダー マルウェアの展開も促進します。

ドリアンとともに攻撃者が利用する追加のマルウェア

攻撃者は Durian を使用して、AppleSeed (Kimsuky が好むバックドア)、LazyLoad というカスタム プロキシ ツール、ngrok や Chrome リモート デスクトップなどの正規ツールを含む追加のマルウェアを展開します。その目的は、Cookie やログイン認証情報など、ブラウザに保存されているデータを盗むことでした。

この攻撃の興味深い点は、以前は L azarus Group内のサブグループであるAndarielと関連付けられていた LazyLoad が利用されていることです。これは、これらの脅威アクター間の潜在的な協力関係または戦術的連携を示唆しています。

キムスキーはサイバー犯罪シーンで依然として主要なプレイヤーである

少なくとも2012年から活動しているキムスキーグループは、APT43、ブラックバンシー、エメラルドスリート（旧タリウム）、スプリングテール、TA427、ベルベットチョリマなど、さまざまな別名でも知られている。北朝鮮の最高軍事情報機関である偵察総局（RGB）の一部門である第63研究センターの傘下で活動していると考えられている。

米国連邦捜査局 (FBI) と国家安全保障局 (NSA) の共同警告によると、キムスキーの主な目的は、盗んだデータと地政学的な情報を北朝鮮政権に提供することであり、彼らは政策アナリストや専門家を侵害することでこれを実現します。侵害に成功すれば、キムスキーの攻撃者はより説得力のあるスピアフィッシングメールを作成し、より価値の高い個人をターゲットにすることができます。

Kimsuky は、C# ベースのリモート アクセス トロイの木馬と情報収集ツールである TutorialRAT に関連するキャンペーンにも関係しています。このマルウェアは、脅威の検出を回避するために、Dropbox を攻撃のプラットフォームとして使用します。このキャンペーンは、APT43 のBabyShark脅威キャンペーンを彷彿とさせ、ショートカット (LNK) ファイルの使用など、一般的なスピア フィッシング手法を採用しています。