ハングル(HWP)文書を開くとマルウェアに感染する北朝鮮関与のハッキング攻撃が韓国で確認された。教授や放送局の作家などを装った標的型フィッシングと、文書内部に悪性ファイルを隠す高度な手口が動員されたことが判明した。
セキュリティ企業Geniansセキュリティセンターは、北朝鮮と関係するハッカー集団APT37がハングル文書に悪性オブジェクトを挿入する、いわゆる「アルテミス作戦」を実行した状況を識別したと22日に明らかにした。
Geniansによれば、攻撃者は電子メールでハングル文書を送付した後、文書内に含まれた悪性OLEオブジェクトを実行させ、ユーザーシステムへのアクセス権限を奪取した。初期侵入段階では、特定の人物や機関を装うスピアフィッシング手法が用いられた。
感染後には検知を回避するための隠蔽手法が使われた。JPEG画像内部に悪性ファイルを隠すステガノグラフィ手法と、正規プログラムを装うDLLサイドローディング方式が併用された。画像には情報窃取用マルウェアであるRoKRATモジュールが隠されていたと分析された。
Geniansは、APT37が昨年夏以降、数カ月にわたり攻撃手法を連続的に高度化してきたと説明した。実際に、特定大学の教授や韓国内の主要放送局の作家の身元を盗用し、長期間にわたり会話を続けて信頼を築いた後、最終段階でのみ悪性ハングル文書を送付した事例も確認されたという。
Geniansは「放送局の作家名義を活用した攻撃シナリオは以前から継続的に観察されてきた」としたうえで、「戦略的目的を持つ脅威行為者の特性上、まだ明るみに出ていない侵入試行も相当数存在する可能性が高い」と述べた。
※ 本記事はAIで翻訳されています。ご意見はこちらのフォームから送信してください。