北朝鮮と連携するハッカー組織として知られる「コニ(Konni)」が、北朝鮮人権講師委嘱案内に偽装したスピアフィッシング(spear phishing・特定の標的を定めて実行する情報窃取攻撃)メールとカカオトークを連動させた多段階攻撃を展開していることが判明した。
まずメールを通じて被害者のPCにマルウェアを仕込み、そこから窃取したカカオトークPC版アカウントに不正アクセスして周辺の知人にマルウェアを再配布する手口である。
16日、サイバーセキュリティ企業Geniansセキュリティセンターが発表した脅威インテリジェンス分析報告書によると、コニ組織は最近、このような手口の高度標的型攻撃(APT)を敢行している。
当該攻撃は「北朝鮮人権講師委嘱案内」に偽装したスピアフィッシングメールから始まる。攻撃者は北朝鮮に関する誘引コンテンツを活用して受信者の信頼を得た後、メールに添付された圧縮ファイル内の悪性ショートカット(LNK)ファイルを実行するよう誘導する。利用者が文書を開くために当該LNKファイルをクリックした瞬間、リモート制御型の内部に隠された悪性スクリプトが実行され、PCが感染する構造だ。
今回の攻撃の特徴は、被害者の端末にインストールされたカカオトークPC版を攻撃拡散の媒体として活用した点である。
攻撃者は被害者のPCに長期潜伏し、アカウント情報などを窃取した後、これを基にカカオトークPC版セッションに不正手段でアクセスしたとみられる。以後、被害者の友人リストの一部を選別し「北朝鮮関連映像企画案」などに偽装した悪性ファイルを再送信する方式で攻撃を続けた。
これは既存の被害者との信頼関係を利用するため、受信者が特段の疑いなくファイルを開く可能性が非常に高い。
Geniansは「今回の攻撃は単純なスピアフィッシングを超え、信頼関係に基づく伝播とアカウントセッション悪用が結合した拡散型APT攻撃という点で脅威性が高い」と述べ、「長期潜伏・情報窃取・アカウント基盤の再拡散が結合した多段階攻撃体系で、既存の被害者を新たな攻撃媒体へ転換する構造を形成する」と説明した。
Geniansは、ますます巧妙化するAPT攻撃に対応するため、単純な侵害指標(IoC)中心の遮断を超え、エンドポイント検知・対応(EDR)中心の異常行為対応体系の導入が急務だと助言した。
組織レベルでメッセンジャーを介したファイル送受信のセキュリティガイド整備、異常な大量・反復送信パターンの検知、重要端末のセッション保護の有無の点検などが必要だということだ。
また、文書アイコンに偽装したショートカットファイルや、公文書形式を装った添付ファイルに対し、利用者が警戒心を持てるよう教育を強化すべきだと強調した。
Genians関係者は「北朝鮮、人権、安全保障、公共機関案内など社会・政治的関心テーマを活用したスピアフィッシングメールに対して、添付ファイルの実行を最小化するポリシーを適用する必要がある」と述べ、「企業はリアルタイムの行為ベース検知と実行段階での遮断が可能なエンドポイントセキュリティ体制を整備し、この種の攻撃に対応すべきだ」と語った。