本日 Kaspersky Lab のセキュリティ分析チームは、韓国のシンクタンクを主な標的とするサイバースパイ活動の分析レポートを発表しました。
本日 Kaspersky Lab のセキュリティ分析チームは、韓国のシンクタンクを主な標的とするサイバースパイ活動の分析レポートを発表しました。
~北朝鮮との関係を示唆する特徴を発見~
本リリースは、2013年 9 月 12 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
本日 Kaspersky Lab のセキュリティ分析チームは、韓国のシンクタンクを主な標的とするサイバースパイ活動の分析レポートを発表しました。
Kimsuky と名付けられたこの活動は、限られた組織のみを狙う標的型の攻撃です。この分析から、韓国の 11 の組織と中国の 2 つの組織が狙われていたことが明らかになりました。これらの標的には、世宗インスティチュート(シンクタンク)、韓国国防研究院(KIDA)、韓国統一部、現代商船、南北統一の支持者などが含まれています。
この攻撃の兆候が最初に認められたのは 2013 年 4 月 3 日であり、その後の 5 月 5 日にトロイの木馬 Kimsuky のサンプルが発見されました。比較的シンプルなこのスパイプログラムには、複数の単純なコーディングエラーがありました。また、ブルガリアの無料 Web メールのサーバー(mail.bg)経由で感染マシンとの通信が行われていました。
マルウェア Kimsuky の最初の感染メカニズムについてはまだ不明ですが、おそらくスピアフィッシング型の E メールを介して配信されたと考えられています。また、Kimsuky は、キー入力傍受、ディレクトリのリスト収集、リモートコントロールアクセス、および HWP 形式(韓国のHancomOffice に含まれるワープロソフトの形式で、韓国の地方自治体の多くがこれを使用)のドキュメントの詐取などのスパイ機能を備えています。攻撃者はリモートアクセス用アプリケーション TeamViewer を改変したものを使用してバックドアを設け、感染マシンからあらゆるファイルの詐取を可能にしています。
マルウェア Kimsuky には、HWP ファイルの詐取を目的とした特別なプログラムが含まれていることから、この犯罪グループが HWP 文書を狙っていることがわかります。
Kaspersky Lab が得た手掛かりから、攻撃者が北朝鮮に関係していることが推測されます。まず第 1 に、その標的が、国際関係を研究し政府の防衛政策を提案する韓国の大学や国営船会社、南北統一の支持者であることです。攻撃対象をプロファイリングすれば、おのずと攻撃者の姿が見えてきます。
第 2 に、コンパイルパスの文字列の一部に、「攻撃せよ」や「完了せよ」といった意味の朝鮮語の語句が含まれています。
第 3 に、ボットが感染させたシステムの情報を添付ファイルとして送信する際に使用していた 2 つの送信先メールアドレス(iop110112@hotmail.com および rsh1213@hotmail.com)は、「kimsukyang」と「Kim asdfa」という 2 つの Kim の名で登録されていました。この登録データだけでは攻撃者と北朝鮮のつながりを裏付ける確かな証拠とは言えませんが、攻撃に使用された送信元 IP アドレスが北朝鮮に関連するある特徴と一致しています。10 個の送信元 IP アドレスが発見されていますが、そのすべてが、北朝鮮に隣接する中国の吉林省と遼寧省のアドレスであることがわかっています。この 2 つの省でインターネットアクセスを提供する ISP は、北朝鮮の一部地域にも回線を保有していると考えられています。
Kimsuky の地政学的な特徴については、もう 1 つ興味深い点があります。このマルウェアは韓国のアンチマルウェア企業であるアンラボ社製のセキュリティソフトのみを無効化する機能を持っているのです。
カスペルスキー製品は、この脅威を「Trojan.Win32.Kimsuky」として検知・駆除します。また、不正改変された TeamViewer クライアントコンポーネントを「Trojan.Win32.Patched.ps」として検知します。
Kaspersky Lab による分析記事および Kimsuky の活動に関するレポートの全文は以下からご覧いただけます。
http://www.securelist.com/en/analysis/204792305/The_Kimsuky_Operation_A_North_Korean_APT
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとしてKaspersky Labは15年以上にわたり、大企業および中小企業から個人ユーザーまで幅広いお客様に効果的なデジタルセキュリティソリューションを提供しています。同社は現在、英国で登記された持ち株会社も含め、世界中のおよそ 200 の国と地域で営業活動を行っており、全世界で 3 億人を超えるユーザーを保護しています。
詳細については
http://www.kaspersky.co.jp/
をご覧ください。
本日 Kaspersky Lab のセキュリティ分析チームは、韓国のシンクタンクを主な標的とするサイバースパイ活動の分析レポートを発表しました。
Kaspersky
関連記事 ウイルスニュース
Kaspersky Lab、インターポール主導のASEAN地域を対象としたサイバー犯罪捜査活動に参加
ASEAN地域においてインターポールが主導する官民連携のサイバー犯罪捜査活動に参加しました。この捜査活動の結果、8,800台のボットネットの指令サーバー(C2)と、政府の公式Webサイトを含む数百件のマルウェアに感染したWebサイトなどが特定されました。詳しくはこちら >インターポールをはじめ30以上の新規パートナーが「No More Ransom」プロジェクトに参加、新たに15の復号ツールを公開
2016年7月に発足した官民連携のランサムウェア対抗プロジェクトに、新たに30超の組織が参加し、計87組織となりました。今回、15の復号ツールが追加され、ポータルサイトも日本語をはじめ14の言語で利用が可能になりました。2016年12月以来、全世界で1万人以上のユーザーが同プロジェクトで提供されている復号ツールを利用して、攻撃を受けたデバイスを復号することに成功しています。詳しくはこちら >Kaspersky Lab、悪名高きサイバー犯罪組織「Lazarus」を追跡調査し、 金融機関からの大規模な金銭窃取の回避に貢献
Kaspersky Labのグローバル調査分析チームは、2016年にバングラデシュ中央銀行から8,100万ドルを窃取したとされるサイバー犯罪組織「Lazarus」を、1年以上に渡り調査した結果を発表しました。この分析結果から得られた知見は、Lazarusが別の金融機関を狙い、多額の金銭窃取を目的とした攻撃活動を中断させる手助けとなりました。詳しくはこちら >