北朝鮮と連携するハッカー組織として知られる「コニ(Konni)」がNAVERとグーグルの広告システムを悪用し、マルウェアを拡散する、いわゆる「ポセイドン作戦」を展開していることが分かった。組織は利用者がポータルサイトの広告をクリックする際の移動経路をハッキング攻撃に活用した。正常な広告経路を利用してセキュリティ網を迂回する手口であり、既存の防御体制の限界を正面から突いたとの分析が出ている。
19日、サイバーセキュリティ専業企業Geniansのセキュリティセンターが発表した脅威インテリジェンス分析報告書によると、コニはポータル広告を攻撃の通路として活用する高度標的型攻撃(APT)を敢行していることが明らかになった。
今回の「ポセイドン作戦」の核心は、NAVERとグーグルの広告システムで使用される「クリック追跡経路」を悪用した点にある。クリック追跡とは、利用者が広告を押したときに当該広告主ページへ移動する前に経由する中間経路で、広告効果分析のために正常に用いられるURL構造である。
利用者が検索結果上部の広告をクリックすると、表向きは正常な広告アドレスを経て最終目的地のサイトに移動するように見える。だがハッカーはこの正常なURL構造をそのまま模倣し、短い遷移の過程の間に利用者を悪性ファイルが仕込まれた外部サーバーへ段階的に誘導した。セキュリティシステムや人工知能(AI)検知ツールが当該リンクを検査しても、NAVERやグーグルの正常なドメインと認識するため遮断が難しい点を狙ったものだ。
Geniansは「過去には主にNAVERの広告経路を悪用した事例が多かったが、最近はグーグルの広告インフラまで攻撃に活用するなど範囲が拡大している」とし、「正常な広告トラフィックの間に攻撃コードを挟み込むことがコニ組織の主要な侵入手法として定着した」と説明した。
とりわけ攻撃に使用されたサーバーの一部は、セキュリティ管理が相対的に脆弱なワードプレス基盤のウェブサイトであることが判明した。これは攻撃インフラが遮断された場合、迅速にサーバーを切り替えて防御体制を振り切るための方法とみられる。
コニ組織は精巧ななりすましメールで攻撃を開始した。金融機関や北朝鮮人権団体などを装い、「金融取引の確認」や「疎明資料の提出」といった被害者が開く可能性の高い業務関連の内容で接近した。
利用者がメール本文に含まれるリンクをクリックすると、圧縮ファイルがダウンロードされる。圧縮ファイルの内部に入っているファイルは一見するとPDF文書のアイコンだが、実際にはWindowsショートカット(LNK)型の悪性ファイルである。このファイルを実行すると文書が開くように見えるが、その裏で悪性スクリプト(オートイット・AutoIt)が自動で作動し、利用者PCにリモート制御型マルウェアをインストールする。
Geniansの分析チームは、悪性ファイル内部のコードから「Poseidon-Attack(ポセイドン攻撃)」という文字列を含む開発パスを発見した。
セキュリティ専門家は、今回の事例が単純なフィッシングを超え、国家の後ろ盾を持つハッカー組織による高度化した攻撃であることを示唆すると警告した。
Geniansセキュリティセンターの関係者は「正常な広告ドメインをむやみに遮断することは現実的に不可能で、既存のパターンベースの防御体制では防御に限界がある」と述べ、「ファイル実行後にPC内部の異常行為と外部通信をリアルタイムで検知できるEDR(エンドポイント検知・対応)ソリューションの導入が不可欠だ」と強調した。
あわせて「メールに添付された圧縮ファイル、特にその中に含まれるショートカット(LNK)ファイルは決して実行してはならない」と呼びかけた。