N. Korean Kimsuky Hackers Using New Recon Tool ReconShark in Latest Cyberattacks
2023/05/05 TheHackerNews — Kimsuky という名の、北朝鮮の国家に支援される脅威アクターは、進行中のグローバル・キャンペーンの一環として、ReconShark という新たな偵察ツールを使用していることが判明した。 SentinelOne の研究者である Tom Hegel と Aleksandar Milenkoski は、「ReconShark は、スピアフィッシング・メールおよび、文書のダウンロードにつながる OneDrive リンク、そして、悪意のマクロの実行を介して、標的とする個人に対して配信されている」と述べている。
Kimsuky については、APT43/ARCHIPELAGO/Black Banshee/Nickel Kimball/Emerald Sleet (旧 Thallium)/Velvet Chollima といった名前も用いられている。
2012年から活動している、この多作な脅威アクターは、北米/欧州/アジアの、非政府組織 (NGO)/シンクタンク/外交機関/軍事組織/経済団体/研究機関などに対する標的型攻撃と関連している。
SentinelOne が収集した、Kimsuky の最新侵入セットは、北朝鮮の核拡散に関連する地政学的なテーマを活用して、感染シーケンスを起動させている。
研究者たちは、「注目すべきは、一連のスピアフィッシング・メールが、特定の個人向けに調整されたレベルのデザイン/品質で作成されており、ターゲットが開封する可能性が高いことである。つまり、適切な書式/文法および、視覚的な要素などにより、疑うことを知らないユーザーには正規のものに見える」と述べている。
これらのメッセージには、ReconShark を展開するために OneDrive 上にホストされている、ブービートラップ付きの Microsoft Word 文書へのリンクが含まれている。それらが、脅威アクターが管理するサーバから送られる指示を実行する、偵察ツールとして機能する。また、このマルウェアは、BabyShark マルウェアのツールセットを進化させたものである。
Palo Alto Networks Unit 42 は、「システム情報を C2 サーバに流出させ、システム上での永続性を維持し、オペレーターからのさらなる指示を待つ」と、2019年2月の BabyShark 分析で述べている。
ReconShark の目的は、実行中のプロセス/展開された検出メカニズム/ハードウェア情報などの、詳細を流出させることにある。
そして、このツールで収集されたデータは、標的の環境に適合するマルウェアを用いた、緻密な攻撃に使用されているが、検出を回避する方法も備わっているようだ。
また、このマルウェアは、感染させたマシン上で機能している検知機構プロセスに基づき、追加のペイロードをサーバから展開することも可能だ。
今回の SentinelOne による発見が示す証拠は、侵害したホスト上で脅威アクターが、足場を築き、持続性を確立し、長期間にわたって密かに情報を収集するために、戦術を積極的に変化させていることを示唆している。
同社は、「Kimsuky による継続的な攻撃と、新しい偵察ツールである ReconShark は、北朝鮮からの脅威の状況が進化していることを浮き彫りにしている」と述べている。
北朝鮮の APT (Advanced Persistent Threats) に関する記事が、このところ増えているように思えます。ただし、その活動量が高まっているのか、注目度が高まっているだけなのか、そのあたりは分かりません。直近の記事としては、2023/04/28 の「北朝鮮の Lazarus/ScarCruft:戦術の拡大と標的のグローバル化 – Kaspersky 調査」があります。よろしければ、North Korea で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.