S2W、「北朝鮮のハッカーグループ『キムスキー』、韓国のセキュリティプログラムを偽装しマルウェアを流布」
こんにちは、S2W NOTE編集です。
最近、韓国だけでなく海外でもS2Wの脅威インテリジェンスセンター「Talon」が発見した分析内容が様々な媒体にて記事化されています。
今回、ハッカーグループ「キムスキー」が韓国のセキュリティプログラムを偽装してマルウェアのトロールスティラー(Troll Stealer)をばら撒いたという情報に関する記事が韓国のメディアに取り上げられました。
※トロールスティラーは、ユーザーのシステム情報、ウェブブラウザ接続サイト、ID、パスワード、プログラムリスト、ファイルのダウンロード履歴、転送履歴、主要情報などをすべて抜き取ることができ、非常に危険です。
特に韓国の行政・公共機関で使用されている行政電子署名用公認証明書である「GPKIファイル」を抜き取ることができ、韓国の公共機関を標的にしている可能性があり、非常に注意が必要です。
それでは、記事の内容をご確認ください。
北朝鮮の偵察総局傘下の組織キムスキー(Kimsuky)が韓国のセキュリティプログラムを偽装してマルウェアを流布したことが確認されました。
2月15日、S2Wが運営するインテリジェンスセンター「Talon」は、キムスキー(Kimsuky)が韓国のセキュリティプログラムを偽装してマルウェアを流布したと明らかにしました。今回発見されたマルウェアは、Go言語ベースの情報窃取型マルウェアで、韓国ソフトウェア企業SGA Solutions社のセキュリティプログラムのインストールファイルとして偽装されました。S2Wでは、この方式を「トロールスティラー(Troll Stealer)」と命名しました。
トロールスティラーは、ユーザーシステム情報、ウェブブラウザ接続サイト、ID、パスワード、プログラムリスト、ファイルダウンロード履歴、転送履歴、主要情報などをすべて奪うことができます。特に韓国の行政・公共機関で使用する行政電子署名用公認認証書である「GPKIファイル」を抜き取ることができ、S2Wによると「韓国公共機関を標的にしている可能性が大きい」とのことです。
S2W脅威インテリジェンスセンターのキム・ジェギセンター長は「トロールスティラーは韓国のセキュリティプログラムを偽装しており、分析した結果、韓国政府だけが使用する証明書を入手対象に含んでおり、キムスキーグループの関連性が確認された」と述べました。
また、「公務員が使用するPCを乗っ取り、情報を奪い取ろうとする目的型インフォスティラー攻撃に対して公共機関の徹底した備えが必要」と強調しました。
北朝鮮のハッカー集団キムスキーは、韓国主要ポータルサイトを偽装したフィッシング攻撃と正常なプログラムを偽装したアプリで攻撃する悪名高いAPT(インテリジェント持続攻撃)ハッキング組織です。
同グループは以前にも、HancomOffice Viewerを偽装したウイルスアプリ(FastViewer)を開発したことがあります。
また、同グループは2023年11月末には米国財務省外交資産統制局(OFAC)により制裁を受けました。
(上記は2024年2月15日、韓国『毎日経済新聞』の記事などを基にまとめた内容です。)
✎________________________________
最後までお読みいただきありがとうございました🙇♀️
