forceCopy Stealer
北朝鮮と関係のあるハッカー集団 Kimsuky が、スピアフィッシング攻撃を使用して、新たに特定された情報窃盗マルウェア forceCopy を配布していることが判明しました。これらの攻撃は、Microsoft Office または PDF ドキュメントに見せかけた偽装 Windows ショートカット (LNK) ファイルを含むフィッシング メールから始まります。受信者が知らないうちにファイルを開くと、連鎖反応が起こり、悪意のあるコマンドが実行されます。
目次
正当なツールを悪用して脅威となるペイロードを配信する
ユーザーが有害な添付ファイルを操作すると、PowerShell または「mshta.exe」が実行され、感染プロセスが開始されます。これは HTML アプリケーション (HTA) ファイルを実行するために使用される正規の Windows ユーティリティです。この手法により、攻撃者は疑いを持たれることなく、外部ソースから追加のマルウェア ペイロードを取得して展開できます。
トロイの木馬とリモートデスクトップツールの導入
攻撃の結果、 PEBBLEDASHトロイの木馬や、リモート デスクトップ アクセスに使用されるオープン ソース ツールである RDP ラッパーの修正版など、既知の脅威が展開されます。これらに加えて、プロキシ マルウェアが導入され、侵害されたデバイスと攻撃者の外部ネットワークがリモート デスクトップ プロトコル (RDP) を介して継続的に接続されます。
キーロガーとforceCopy: 保存された認証情報を狙う
Kimsuky は PowerShell ベースのキーロガーを使用してキーストロークをキャプチャし、機密情報を盗む能力をさらに高めていることも確認されています。さらに、新たに発見された forceCopy マルウェアは、Web ブラウザーのディレクトリに保存されているファイルを抽出するように特別に設計されています。これは、セキュリティ制限を回避し、ログイン認証情報が保存されていることが多いブラウザー構成ファイルに直接アクセスしようとしていることを示しています。
戦略的な転換: ホスト制御に RDP を使用する
このグループが RDP ラッパーとプロキシ マルウェアに依存していることは、彼らの活動における戦術的変化を浮き彫りにしています。以前は、Kimsuky は主にカスタム ビルドのバックドアを使用して感染したシステムを制御していました。現在は、広く入手可能なツールを活用して、検出される可能性を減らしながら持続性を維持することを目指しています。
APT43: 長年にわたるサイバースパイの脅威
APT43、ブラック・バンシー、エメラルド・スリートなどの別名でも知られるキムスキーは、北朝鮮の有力な対外情報機関である北朝鮮偵察総局(RGB)の傘下で活動していると考えられている。少なくとも2012年から活動しているこのグループは、メールのセキュリティ防御を回避するために高度なソーシャルエンジニアリング攻撃を実行してきた長い歴史がある。
ロシアを拠点とするフィッシングキャンペーンで活動を拡大
最近の調査結果によると、キムスキーはロシアのメールサービスから送信されたフィッシングメールを使用して認証情報の窃盗キャンペーンを実行していることが示されています。2024年12月に確認されたこの変更は、同グループがソーシャルエンジニアリングの手法を改良し続け、価値の高い個人や組織を標的とする戦術が進化していることを反映しています。
