【北のハッカー、新手の武器でハッキング活動展開】サイバー脅威と政策に関する重要ニュース
こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元にサイバー脅威や関連政策に関して重要なニュースを抜粋してお届けします。
以下、2024年6月30日の韓国のセキュリティメディア『dailysecu』の記事を翻訳・編集した内容になります。
北「キムスキー」、Chromeの拡張機能を悪用しハッキング活動を展開
北のハッキンググループ「Kimsuky(キムスキー)」が機密情報を盗み取るために、Google Chrome拡張機能を悪用していることが明らかになりました。
これは主に北朝鮮の政治問題を研究する韓国の学界を対象とした情報収集活動の一環として使われています。
◆TRANSLATEXT、新たなサイバースパイツール
セキュリティ企業「Zscaler ThreatLabz」は、今年3月初めにこの活動をキャッチしました。
「TRANSLATEXT」という名の拡張機能には、メールアドレス、ユーザー名、パスワード、Cookie、ブラウザのスクリーンショットを収集する機能があります。
検知を避けるためにGoogle翻訳の拡張プログラムに偽装し、Google、Kakao、Naverなどのセキュリティ対策を迂回するJavaScriptコードを使ってEメールアドレスとSSL証明書を盗み、奪取したデータを外部に流出していることが分かりました。
キムスキーの今回のキャンペーンは、韓国の軍事史に関する情報を含むZIPファイルのハッキングから始まっています。このファイルには、ハングルワード(プログラム名)のドキュメントと実行ファイルが含まれています。起動可能なファイルを起動すると、攻撃者のサーバーからPowerShellスクリプトをダウンロードし、被害者情報をGitHubのレポジトリにエクスポートする動きをします。
この初期のアプローチは、キムスキーの既存の戦術であるスピアフィッシングや社会工学攻撃と一致します。キムスキーは最近、この「TRANSLATEXT」に加えてMicrosoft Officeの既知のセキュリティ脆弱性(CVE-2017-11882)を悪用してキーロガーを流布し、航空宇宙や防衛部門を狙った就職の機会をダシにしたネタを使ってデータ収集や二次ペイロード実行機能とスパイツールを流布しました。
サイバーセキュリティ企業CyberArmorは、この攻撃に使用されたバックドアを「Niki」と命名し、このバックドアにより、攻撃者が偵察を行い、感染したマシンをリモートで制御が可能になることを明らかにしました。
「APT43」、「ARCHIPELAGO」、「Velvet Chollima」など様々な名前で知られるキムスキーは、少なくとも2012年から活動して来ました。
このグループは北朝鮮の偵察総局(RGB)と関連があり、サイバースパイや外貨窃取を目的とした攻撃で韓国の機関などを対象に攻撃して来ました。
同グループの最近の活動は、マルウェアの使用と既知の脆弱性の悪用を通じて目標を達成するための戦術の継続的な進化を示しています。
キムスキーがクロム拡張機能を悪用してサイバースパイキャンペーンを実施したことは、彼らの適応性とセンシティブな目標に対する継続的な脅威になっていることを証明しています。
このグループはまた、社会工学と既知の脆弱性を利用して韓国の学界やその他の重要な産業などに大きなリスクをもたらしており、細心の注意を払う必要があります。
