北朝鮮Kimsukyグループによる高度標的型攻撃:HIDDEN COBRA 

米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、連邦捜査局(FBI)、および米国サイバーコマンド サイバー国家ミッションフォース(CNMF)の共同勧告では、北朝鮮の高度標的型攻撃(APT)グループ「Kimsuky」が、情報を収集するために世界中の標的に対して使用する戦術、技術、手順(TTP)について解説しています。米国政府では、北朝鮮政府による悪意あるサイバー活動を「HIDDEN COBRA」と呼ばれています。

出典元

North Korean Advanced Persistent Threat Focus: Kimsuky

This joint cybersecurity advisory was coauthored by the Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the U.S. Cyber Command Cyber National Mission Force (CNMF). This advisory describes the tactics, techniques, and procedures (TTPs) used by North Korean advanced persistent threat (APT) group Kimsuky
—against worldwide targets—to gain intelligence on various topics of interest to the North Korean government. The U.S. Government refers to malicious cyber activity by the North Korean government as HIDDEN COBRA. 

CISA Last Revised October 27, 2020

主な調査結果

  • Kimsuky APT グループはおそらく 2012 年から活動していると思われる。
  • Kimsuky APT グループは北朝鮮政権から世界的な情報収集任務を課せられている可能性が高い。
  • 一般的なソーシャルエンジニアリング戦術、スピアフィッシング、ウォーターホール攻撃を駆使して、被害者から必要な情報を盗み出す。[ 1 ]、[ 2 ]
  • 被害者のホストやネットワークへの最初のアクセスを得るために、スピアフィッシングを使用する可能性が高い。[ 3 ]
  • 韓国、日本、米国の個人や組織に対して情報収集活動を行っている。
  • 朝鮮半島、核政策、制裁に関連する外交政策と国家安全保障の問題に情報収集活動の焦点を置いている。
  • Kimsuky APT グループは具体的には以下をターゲットとしている。
    • さまざまな分野の専門家として認められた個人
    • シンクタンク
    • 韓国政府機関[ 4 ],[ 5 ],[ 6 ],[ 7 ],[ 8 ]
  • CISA、FBI、CNMF は、このターゲット プロファイルに該当する個人および組織に対して、防御を強化し、意識を高めることを推奨している。特に重要な軽減策としては、スピアフィッシングに対する保護、多要素認証の使用、ユーザー意識向上トレーニングなどがある。

技術的詳細

初期アクセス

Kimsukyは、さまざまなスピアフィッシングやソーシャルエンジニアリングの手法を使用して、被害者のネットワークに初期アクセス[TA0001]を取得します。[9][10][11] スピアフィッシング(悪意のある添付ファイルが埋め込まれた電子メール)は、Kimsukyの最もよく見られる戦術です(フィッシング:スピアフィッシングの添付ファイル[T1566.001])。[12][13]

  • APTグループは、標的以外の犠牲者から盗んだウェブホスティングの認証情報を使用して、悪意のあるスクリプトやツールをホストしています。キムスキュは、おそらくスピアフィッシングと認証情報収集スクリプトを使用して、犠牲者から認証情報を入手したと考えられます。犠牲者のドメイン上で、GoogleやYahooメールなどのなりすまし対象の正規サイトやサービスを模倣したサブドメインを作成しています。
  • また、Kimsukyは標的に対して無害なメールも送信しており、これはおそらく、悪意のある添付ファイルやリンクを含む後続のメールに対する信頼を事前に構築することを目的としたものと思われます。
    • Kimsukyは韓国人レポーターを装い、標的と見られる人物と、インタビューをテーマにした無害なメールを数通やり取りし、表向きはインタビューの日取りを調整し、場合によっては信頼関係を構築しようとしていました。メールの件名は「ソウル発の[テレビ番組名]によるSkypeインタビューの依頼」となっており、受信者に番組ゲストとして出演するよう依頼する内容で始まりました。 APTグループは、南北朝鮮問題と朝鮮半島の非核化交渉をテーマに、対象者をSkypeインタビューに招待しました。
    • 受信者がインタビューに応じた後、Kimsukyは悪意のある文書を添付ファイルとして、または本文中のGoogleドライブのリンクとして添付したメールを送信しました。文書には通常、BabySharkマルウェアの亜種が含まれていました(BabySharkの詳細については、「実行」のセクションを参照してください)。インタビューの日が近づくと、Kimsukyはインタビューをキャンセルするメールを送信しました。
  • キムスキーは標的に関連するトピック、例えば新型コロナウイルス(COVID-19)、北朝鮮の核開発計画、メディアのインタビューなどを利用して、スピアフィッシングやソーシャルエンジニアリングのアプローチを調整します。[15][16][17]

キムスキーが初期アクセスを獲得するその他の手法には、ログインセキュリティ警告をテーマにしたフィッシングメール、ウォーターホーリング攻撃、ビットトレント共有サイトを介したマルウェアの配布、および被害者に悪意のあるブラウザ拡張機能のインストールを促すもの(フィッシング:スピアフィッシングリンク [T1566.002]、ドライブバイ・コンプロマイゼーション [T1189]、マン・イン・ザ・ブラウザー [T1185])などがあります。[18]

実行

初期アクセスを取得した後、KimsukyはBabySharkマルウェアとPowerShellまたはWindowsコマンドシェルを使用して実行します[TA0002]。

  • BabySharkはVisual Basic Script (VBS)ベースのマルウェアです。
    • まず、侵害されたホストシステムは、ネイティブのMicrosoft Windowsユーティリティであるmshta.exeを使用して、リモートシステムからHTMLアプリケーション(HTA)ファイルをダウンロードして実行します(署名付きバイナリプロキシ実行:Mshta [T1218.005])。
    • 次に、HTAファイルがエンコードされたBabyShark VBSファイルをダウンロード、デコード、実行します。
    • このスクリプトは、起動時に実行されるレジストリキーを作成することで持続性を維持します(TA0003)。これにより、起動時またはログオン時の自動実行:レジストリ実行キー/スタートアップフォルダ[T1547.001])。
    • その後、システム情報を収集し(システム情報検出[T1082])、オペレーターのコマンド制御(C2)サーバーに送信し、次のコマンドを待ちます。[19][20][21][22]
  • オープンソースのレポートによると、BabySharkはリンクまたは添付ファイルを含む電子メールメッセージを介して配信される(詳細は「初期アクセス」のセクションを参照)(フィッシング:スピアフィッシングリンク [T1566.002]、フィッシング:スピアフィッシング添付ファイル [T1566.001])。Kimsukyは、標的の興味に合わせてフィッシングメールをカスタマイズする。これまでに標的となったのは、米国のシンクタンクや世界的な暗号通貨業界である。[23]
  • Kimsukyは、PowerShellを使用して、標的のメモリを使用することで、コンピュータの物理的なハードディスクに触れることなく、インターネットから実行可能ファイルを実行します(コマンドおよびスクリプトインタープリタ:PowerShell [T1059.001])。PowerShellコマンド/スクリプトは、powershell.exeを起動することなく、HTAファイルまたはmshta.exeを介して実行することができます。[24][25][26][27]

持続性

Kimsukyは、悪意のあるブラウザ拡張機能の使用、システムプロセスの変更、自動起動の実行操作、リモートデスクトッププロトコル(RDP)の使用、およびアプリケーションのデフォルトのファイル関連付けの変更を通じて、持続性[TA0003]を確立する能力を示しました。これらの方法を使用することで、Kimsukyはログイン情報やパスワード情報を取得したり、アプリケーションの許可リストソリューションを回避してマルウェアを起動したりすることができます。

  • 2018年、KimsukyはGoogle Chrome Web Storeで入手可能な拡張機能を使用して、被害者を感染させ、ブラウザからパスワードやクッキーを盗みました(マン・イン・ザ・ブラウザー[T1185])。この拡張機能のレビューでは5つ星の評価が付けられていましたが、レビューの本文は他の拡張機能に関するものか、否定的なものでした。このレビューは、おそらく侵害されたGoogle+アカウントによって投稿されたものです。[28]
  • Kimsukyは、サービスとやり取りするためのユーティリティを使用するか、レジストリキー(起動またはログオン時の自動実行[T1547])を直接変更することで、スタートアップ時に実行できる新しいサービスをインストールする可能性があります。サービス名は、関連するオペレーティングシステムの機能名を偽装したり、無害なソフトウェアを装うことで偽装される可能性があります。サービスは管理者権限で作成される場合もありますが、システム権限で実行されるため、攻撃者はサービスを使用して管理者権限をシステム権限に昇格させることもできます。また、サービス実行により、直接サービスを開始することもできます。[29][30]
  • 2018年5月の「STOLEN PENCIL」作戦中、KimsukyはGREASEマルウェアを使用しました。GREASEは、ファイアウォール規則を回避しながらWindowsの管理者アカウントを追加し、RDPを有効にできるツールです(リモートサービス:リモートデスクトッププロトコル[T1021.001])。[31]
  • Kimsukyは、ハングルワードプロセッサ(HWP)文書(.hwpファイル)に関連付けられたデフォルトのプログラムをレジストリで変更する文書窃取モジュールを使用します(イベントトリガー実行:デフォルトのファイル関連付けの変更 [T1546.001])。Kimsukyは、正規のHWPプログラムではなく、悪意のあるプログラムを開くようにレジストリのデフォルト設定を変更します(HWPは韓国語のワードプロセッサです)。このマルウェアは、正規のHWPプログラムが最終的にドキュメントを開く前に、HWPドキュメントの内容を読み取り、電子メールで送信します。[32] Kimsukyはまた、.hwpではなく.docxファイルでドキュメントをフォーマットすることで、Microsoft Officeユーザーを標的にしています。また、それに応じてマクロを調整します。[33]
  • キムスカイは、俳優が修正したオープンソースのHypertext Processor(PHP)ベースのウェブシェルをアップロードすることで、侵害されたドメインへのアクセスを維持しています。これらのウェブシェルにより、APTのアクターは、侵害されたドメイン上のファイルやディレクトリのアップロード、ダウンロード、削除が可能になります(サーバーソフトウェアコンポーネント:ウェブシェル [T1505.003])。俳優は、修正したウェブシェルコード内に「Dinosaur」の参照を追加することがよくあります。[34]

特権の昇格

Kimsukyは、特権の昇格[TA0004]に広く知られた手法を使用しています。これらの手法には、スクリプトをスタートアップフォルダに配置すること、新しいサービスの作成と実行、既定のファイル関連付けの変更、explorer.exeへの悪意のあるコードの注入などが含まれます。

  • Kimsukyは、MetasploitフレームワークのエクスプロイトであるWin7Elevateを使用して、ユーザーアカウント制御をバイパスし、explorer.exeに悪意のあるコードを注入しました(プロセスインジェクション[T1055])。この悪意のあるコードは、被害者のオペレーティングシステムに関係なく、リソースからキーストロークの記録やリモートコントロールアクセスツール、リモートコントロールのダウンロードおよび実行ツールのコレクションであるスパイライブラリを復号化します。その後、復号化されたファイルは、ランダムなハードコード化された名前(例:dfe8b437dd7c417a6d.tmp)でユーザーの一時フォルダにディスクに保存され、このファイルがライブラリとして読み込まれることで、再起動後もツールがシステム上に確実に残るようになっています。これにより、特権の昇格が可能になります。[35]
  • インジェクションが行われる前に、マルウェアは必要な権限を設定します(図1を参照)。マルウェアは、悪意のあるダイナミックリンクライブラリ(DLL)へのパスを書き込み、explorer.exe内にリモートスレッドを作成してリモートプロセスがロードされるようにします(プロセスインジェクション[T1055])。[36]

図1:インジェクション用に設定された権限 [37]

防御回避

Kimsukyは、ネットワーク内の防御回避[TA0005]に広く知られ、利用されている手法を使用しています。これらの手法には、セキュリティツールの無効化、ファイルの削除、Metasploitの使用などがあります。[38][39]

  • Kimsukyの悪意のあるDLLは、起動時にWindowsファイアウォールのレジストリキーをゼロ(無効化)にします(図2参照)。これにより、Windowsシステムファイアウォールが無効化され、Windowsセキュリティセンターサービスがオフになるため、無効化されたファイアウォールについてユーザーに警告するサービスが停止します(図2参照)(Impair Defenses: Disable or Modify System Firewall [T1562.004])。[40]

図2:無効化されたファイアウォールのレジストリ値 [41]

  • Kimsukyは、C2サーバーに送信された後にディスク上の外部流出データを削除するキーロガーを使用している(ホスト上の指標削除:ファイル削除[T1070.004])。[42]
  • Kimsukyはmshta.exeを使用しており、これはMicrosoft HTAを実行するユーティリティである。これは、信頼されたWindowsユーティリティを介して、悪意のある.htaファイルやJavaScript、VBSをプロキシ実行するために使用できる(署名済みバイナリプロキシ実行:Mshta [T1218.005])。また、アプリケーションの許可リストソリューションを回避する目的でも使用されます(不正な昇格制御メカニズム:ユーザーアクセス制御のバイパス [T1548.002])。[43][44]
  • 前述のWin7Elevateも、従来のセキュリティ対策を回避するために使用されます。Win7Elevatveは、Metasploitフレームワークのオープンソースコードの一部であり、explorer.exeに悪意のあるコードを注入するために使用されます(プロセスインジェクション[T1055])。悪意のあるコードは、リソースからスパイ用ライブラリを復号し、復号したファイルを被害者の一時フォルダにランダムなハードコードされた名前でディスクに保存し、ライブラリとしてロードします。[45][46][47]

認証情報アクセス

Kimsukyは、正当なツールとネットワークスニッファーを使用して、ウェブブラウザ、ファイル、キーロガーから認証情報を収集します(認証情報アクセス [TA0006])。

  • Kimsukyは、よく知られた悪意のあるソフトウェアを使用する代わりにメモリダンププログラムを使用し、認証情報の抽出をオフラインで行います。Kimsukyは、ProcDump(Windowsのコマンドライン管理ツールで、Linuxでも利用可能)を使用します。このツールを使用すると、ユーザーは、CPU(中央演算処理装置)の利用率が高いなど、特定の基準に基づいてプロセスのクラッシュダンプ/コアダンプを作成することができます(OS認証情報のダンプ[T1003])。ProcDumpはCPUの急上昇を監視し、条件に一致する値が検出されるとクラッシュダンプを生成します。また、コンピュータに保存されているWord文書に情報を渡します。このツールは、俳優が他のスクリプトに組み込むことができる一般的なプロセスダンプユーティリティとして使用できます。KimsukyがProcDumpをBabySharkマルウェアに組み込んだ例がこれに該当します。[48]
  • オープンソースのセキュリティ研究者によると、KimsukyはChrome拡張機能を悪用して、ブラウザからパスワードとクッキーを盗む(Man-in-the-Browser [T1185])。[49][50] スピアフィッシングメールは、被害者をフィッシングサイトに誘導し、そこで被害者には無害なPDF文書が表示されますが、閲覧することはできません。その後、被害者はChrome拡張機能をインストールするためにChrome Web Storeの公式ページにリダイレクトされ、この拡張機能にはクッキーやサイトパスワードを盗む機能があり、JavaScriptファイル(jQuery.js)を別のサイトからロードします(図3を参照)[51]。

図3:jQuery.jsという名前のJavaScriptファイル[52]

  • Kimsukyは、MECHANICALという名前のPowerShellベースのキーロガーと、Nirsoft SniffPass(Input Capture: Keylogging [T1056.001]、Network Sniffing [T1040])という名前のネットワークスニッフィングツールも使用しています。MECHANICALはキーストロークを%userprofile%/appdata/roaming/apach.{txt,log}に記録し、また「クリプトジャッカー」でもあり、これは被害者のコンピュータを使用して暗号通貨のマイニングを行うツールです。Nirsoft SniffPassは、非セキュアなプロトコルで送信されたパスワードを取得することができます。[53]
  • Kimsukyは、被害者がアクセスしたウェブサイト間のウェブトラフィックを調査し、被害者が入力した認証情報を収集するために、PHPで書かれたオープンソースのウェブプロキシであるPHProxyの俳優によって変更されたバージョンを使用していた。[54]

ディスカバリー

Kimsukyは、被害者のコンピュータおよびネットワークのシステム情報とファイル構造を列挙します(ディスカバリー[TA0007])。Kimsukyは、被害者のオペレーティングシステムのコマンドプロンプトを使用してファイル構造とシステム情報を列挙しているようです(ファイルとディレクトリのディスカバリー[T1083])。情報はC:¥WINDOWS¥msdatl3.incに送信され、マルウェアによって読み取られ、おそらくはマルウェアのコマンドサーバーに電子メールで送信されます。[55]

収集

Kimsukyは、HWP文書マルウェアとキーロガーを使用して、被害者のシステムからデータを収集します(収集 [TA0009])。HWP文書マルウェアは、HWP文書を開くためのレジストリの既定のプログラム関連付けを変更します(イベントトリガー実行:既定のファイル関連付けの変更 [T1546.001])。ユーザーがHWPファイルを開くと、レジストリキーの変更によりマルウェアが実行され、HWPドキュメントが開き、そのコピーが敵対者の管理下にあるアカウントに送信されます。その後、マルウェアはユーザーに何らかの事象が発生したことを示すことなく、ユーザーが通常通りファイルを開けるようにします。キーロガーはキー入力を傍受し、C:¥Program Files¥Common Files¥System¥Ole DB¥msolui80.inc に書き込むとともに、ユーザーがキーを押したアクティブウィンドウ名を記録します(入力キャプチャ:キーロギング [T1056.001])。 別のキーロガーの亜種では、キー入力をC:¥WINDOWS¥setup.log に記録します。 [56]

Kimsukyは、Mac OSシステムからデータを収集し、C2サーバーに送信するMac OS Pythonインプラントも使用しています(コマンドおよびスクリプトインタープリタ:Python [T1059.006])。Pythonプログラムは、filedown.phpの後に指定されたC2オプションに基づいて、さまざまなインプラントをダウンロードします(図4を参照)。

図4:MacOSを標的とするPythonスクリプト [57]

コマンドおよび制御

Kimsukyは、変更されたTeamViewerクライアントのバージョン5.0.9104を、コマンドおよび制御用に利用していました[TA0011](リモートアクセスソフトウェア[T1219])。感染の初期段階では、「リモートアクセスサービス」というサービスが作成され、システム起動時にC:WindowsSystem32vcmon.exeを実行するように調整されます(起動またはログオン時の自動実行: レジストリ実行キー/スタートアップフォルダ [T1547.001])。vcmon.exeが実行されるたびに、レジストリ値がゼロに設定されることでファイアウォールが無効になります(Impair Defenses: Disable or Modify System Firewall [T1562.004])。その後、プログラムは TeamViewer コンポーネント内のTeamViewer文字列を変更することで、TeamViewer のレジストリ設定を変更します。その後、ランチャーは、リモートアクセスツールの動作を制御するSecurityPasswordAESなどの複数のレジストリ値を設定します。
SecurityPasswordAESレジストリ値は、リモートユーザーが TeamViewer Client に接続する際に使用するパスワードのハッシュを表します (代替認証情報の使用: ハッシュの送信 [T1550.002])。これにより、攻撃者は事前共有認証値を設定してTeamViewerクライアントにアクセスできるようになります。その後、攻撃者はTeamViewerクライアントnetsvcs.exeを実行します。[58]
Kimsukyは一貫したフォーマットを使用しています。最近使用されているURL(express[.]php?op=1)では、1から3までのオプション範囲があるようです。[59]

流出

サイバーセキュリティ企業のオープンソースレポートでは、Kimsukyが盗んだデータを外部に送信するために使用した2つの異なる方法が説明されています。メール経由、またはMD5ハッシュまたはランダムに生成された117バイトのバッファとして生成されたRC4キー経由です(Exfiltration [TA0010])。

観測されたデータの外部送信中に攻撃者がコンピュータを破壊した形跡は見られず、Kimsukyの意図はコンピュータネットワークの妨害ではなく、情報の窃取であることが示唆されます。Kimsukyが好んで用いる、窃取した情報の送受信方法は、電子メールを介したもので、被害者のマシンに仕込まれたマルウェアがデータを暗号化してからC2サーバーに送信します(アーカイブ収集データ [T1560])。また、Kimsukyは被害者の電子メールアカウント内で自動転送ルールを設定します(電子メール収集:電子メール転送ルール [T1114.003])。

また、Kimsukyは、盗んだデータを外部に送信するために、MD5ハッシュとして生成されたRC4キー、またはランダムに生成された117バイトのバッファを使用しています。データはRSA暗号化されて送信されます(暗号化されたチャネル:対称暗号化[T1573.001])。Kimsukyのマルウェアは1120ビットの公開鍵を生成し、その鍵を使用して117バイトのバッファを暗号化します。生成されたデータファイルはC:¥Program Files¥Common Files¥System¥Ole DBに保存されます(データステージ:ローカルデータステージ[T1074.001])。[60]

緩和策

侵害の兆候(Indicators of Compromise)

Kimsukyは表1に記載されたドメインを使用して目的を遂行しました。

IOCのダウンロード可能なコピーについては、AA20-301A.stixを参照してください。

表1:Kimsukyが使用したドメイン

login.bignaver[.]comnytimes.onekma[.]comwebuserinfo[.]com
member.navier.pe[.]hunid.naver.onektx[.]compro-navor[.]com
cloudnaver[.]comread.tongilmoney[.]comnaver[.]pw
resetprofile[.]comnid.naver.unicrefia[.]comdaurn[.]org
servicenidnaver[.]commail.unifsc[.]comnaver.com[.]de
account.daurn.pe[.]humember.daum.unikortv[.]comns.onekorea[.]me
login.daum.unikortv[.]comsecuretymail[.]comriaver[.]site
account.daum.unikortv[.]comhelp-navers[.]commailsnaver[.]com
daum.unikortv[.]combeyondparallel.sslport[.]workcloudmail[.]cloud
member.daum.uniex[.]krcomment.poulsen[.]workhelpnaver[.]com
jonga[.]mlimpression.poulsen[.]workview-naver[.]com
myaccounts.gmail.kr-infos[.]comstatement.poulsen[.]workview-hanmail[.]net
naver.hol[.]esdemand.poulsen[.]worklogin.daum.net-accounts[.]info
dept-dr.lab.hol[.]essankei.sslport[.]workread-hanmail[.]net
Daurn.pe[.]husts.desk-top[.]worknet.tm[.]ro
Bigfile.pe[.]huhogy.desk-top[.]workdaum.net[.]pl
Cdaum.pe[.]hukooo[.]gqusernaver[.]com
eastsea.or[.]krtiosuaking[.]comnaver.com[.]ec
myaccount.nkaac[.]nethelp.unikoreas[.]krnaver.com[.]mx
naver.koreagov[.]comresultview[.]comnaver.com[.]se
naver.onegov[.]comaccount.daum.unikftc[.]krnaver.com[.]cm
member-authorize[.]comww-naver[.]comnid.naver.com[.]se
naver.unibok[.]krvilene.desk-top[.]workcsnaver[.]com
nid.naver.unibok[.]kramberalexander.ghtdev[.]comnidnaver[.]email
read-naver[.]comnidnaver[.]netcooper[.]center
dubai-1[.]comcoinone.co[.]innidlogin.naver.corper[.]be
amberalexander.ghtdev[.]comnaver.com[.]plnid.naver.corper[.]be
gloole[.]netnaver[.]cxnaverdns[.]co
smtper[.]orgsmtper[.]cznaver.co[.]in
login.daum.kcrct[.]mlmyetherwallet.com[.]mxdownloadman06[.]com
login.outlook.kcrct[.]mlmyetherwallet.co[.]inloadmanager07[.]com
top.naver.onekda[.]comcom-download[.]workcom-option[.]work
com-sslnet[.]workcom-vps[.]workcom-ssl[.]work
desk-top[.]workintemet[.]workjp-ssl[.]work
org-vip[.]worksslport[.]worksslserver[.]work
ssltop[.]worktaplist[.]workvpstop[.]work
webmain[.]workpreview.manage.org-view[.]workintranet.ohchr.account-protect[.]work

表2:Kimsukyが使用していたドメイン(一部削除済み)

[REDACTED]/home/dwn[.]php?van=101[REDACTED]/home/dwn[.]php?v%20an=101[REDACTED]/home/dwn[.]php?van=102
[REDACTED]/home/up[.]php?id=NQDPDE[REDACTED]/test/Update[.]php?wShell=201

連絡先

「サイバーセキュリティに関する共同勧告」で言及されている情報に関連する疑わしい行為または犯罪行為について報告する場合は、最寄りのFBI事務所(www.fbi.gov/contact-us/field)またはFBIの24時間365日対応のサイバー監視センター(CyWatch)(電話:(855) 292-3937、電子メール:CyWatch@fbi.gov)までご連絡ください。利用可能な場合は、インシデントに関する以下の情報を記載してください。インシデントの日付、時刻、場所、活動の種類、影響を受けた人数、活動に使用された機器の種類、報告元の企業または組織の名称、指定連絡先。これらの脅威に関連するインシデント対応リソースまたは技術支援を依頼する場合は、CISA(Central@cisa.dhs.gov)までご連絡ください。

免責事項

この情報は、情報提供のみを目的として「現状のまま」提供されるものです。米国政府は、この情報に関していかなる種類の保証も提供しません。いかなる場合においても、米国政府またはその請負業者、下請け業者は、本情報に起因する、または何らかの形で関連する、直接的、間接的、特別、または派生的損害を含む(ただしこれらに限定されない)損害について、保証、契約、不法行為、またはその他の根拠に基づくか否か、過失に起因するものであるか否か、また、本情報の結果、または本情報への依存によって生じた傷害であるか否かにかかわらず、一切の責任を負いません。

米国政府は、分析対象を含むいかなる商用製品またはサービスも支持するものではありません。サービスマーク、商標、メーカーなどによる特定の商用製品、プロセス、またはサービスへの言及は、米国政府による支持、推奨、または支持を意味するものではなく、また暗示するものでもありません。

参考文献

[1] Netscout: STOLEN PENCILキャンペーンが学術界をターゲットに
[2] CYWARE Social: BabySharkマルウェアは原子力産業と暗号通貨産業を標的にし続けている
[3] CYWARE Social: BabySharkマルウェアは原子力産業と暗号通貨産業を標的にし続けている
[4] Netscout: STOLEN PENCILキャンペーンが学術界をターゲットに
[5] MITRE ATT&CK: グループ – Kimsuky
[6] Securityweek.com: 北朝鮮による韓国の組織に対するサイバースパイ攻撃の疑い
[7] MITRE ATT&CK: グループ – Kimsuky
[8] CrowdStrike:2020年世界脅威レポート
[9] MalwareBytes:APTとCOVID-19:高度で持続的な脅威がコロナウイルスを餌として利用する仕組み
[10] PwC: 北朝鮮を拠点とするサイバースパイ集団「Kimsuky」を追跡する: パート2
[11] CrowdStrike:2020年世界脅威レポート
[12] Netscout: STOLEN PENCILキャンペーンが学術界をターゲットに
[13] MITRE ATT&CK: グループ – Kimsuky
“>[14] 民間パートナー
[15] CYWARE Social: BabySharkマルウェアは原子力産業と暗号通貨産業を標的にし続けている
[16] MalwareBytes:APTとCOVID-19:高度で持続的な脅威がコロナウイルスを餌として利用する仕組み
[17] サイバースクープ:北朝鮮は金正恩の経済期限に間に合わせるため商業スパイ活動を加速させる可能性がある
[18] MITRE ATT&CK: グループ – Kimsuky
[19] CYWARE Social: BabySharkマルウェアは原子力産業と暗号通貨産業を標的にし続けている
[20] MITRE ATT&CK: グループ – Kimsuky
[21] Palo Alto Networks Unit42:新たなBabySharkマルウェアが米国の国家安全保障シンクタンクを標的に
[22] Palo Alto Networks Unit42:新たなBabySharkマルウェアが米国の国家安全保障シンクタンクを標的に
[23] CYWARE Social: BabySharkマルウェアは原子力産業と暗号通貨産業を標的にし続けている
[24] MITRE ATT&CK: グループ – Kimsuky
[25] Palo Alto Networks Unit 42: BabySharkマルウェア第2部 – KimJongRATとPCRatを使用した攻撃が続く
[26] McAfee:mshtaとは何か、どのように使用するのか、そしてどのように防御するのか
[27] Palo Alto Networks Unit42:新たなBabySharkマルウェアが米国の国家安全保障シンクタンクを標的に
[28] Netscout: STOLEN PENCILが学術界をターゲットに
[29] MITRE ATT&CK: グループ –キムスキー
[30] Palo Alto Networks Unit42:新たなBabySharkマルウェアが米国の国家安全保障シンクタンクを標的に
[31] ネットスカウト:盗難鉛筆キャンペーンが学術界をターゲットに
[32] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?
“>[33] 民間パートナー
“>[34] 民間パートナー
[35] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?
[36] Yoroi:北朝鮮のKimsuky APTはTTPを進化させながら韓国を脅かし続けている
[37] Yoroi:北朝鮮のKimsuky APTはTTPを進化させながら韓国を脅かし続けている
[38] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?
[39] MITRE ATT&CK: グループ – Kimsuky
[40] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?
[41] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?
[42] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?
[43] MITRE ATT&CK: グループ – Kimsuky
[44] McAfee:mshtaとは何か、どのように使用するのか、そしてどのように防御するのか
[45] Securityweek.com: 北朝鮮による韓国の組織に対するサイバースパイ攻撃の疑い
[46] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?
[47] MITRE ATT&CK: グループ –Kimsuky
[48] Microsoft Defender ATPによるメモリアクセスモデリングによる認証情報の盗難の検出
[49] MITRE ATT&CK: グループ –Kimsuky
[50] ZDNet:サイバースパイグループがChrome拡張機能を使用して被害者を感染させる
[51] ZDNet:サイバースパイグループがChrome拡張機能を使用して被害者を感染させる
[52] Netscout: STOLEN PENCILキャンペーンが学術界をターゲットに
[53] Netscout: STOLEN PENCILキャンペーンが学術界をターゲットに
“>[54] 民間パートナー
[55] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?
[56] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?
“>[57] 民間パートナー
[58] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?
“>[59] 民間パートナー
[60] Securelist:「Kimsuky」作戦:北朝鮮のAPTか?

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ