キムスキーのAPT戦術はタガートの増加とともに増加し続けており、アジア太平洋地域の企業はより警戒しなければならない
ジャカルタ - カスペルスキーの専門家が、特に韓国のシンクタンクを標的にした活発なサイバースパイ活動の覆面を剥がしてから、ほぼ10年が経ちました。「キムスキー」と名付けられたこのグループは、北朝鮮関連団体を標的にするためのツールと戦術の生産的な更新を示し続けている。
カスペルスキーの上級専門家は、この高度な永続的脅威(APT)脅威アクターが彼の豊富な能力で業務を拡大する可能性を含む、彼の調査結果の詳細を明らかにしました。
Kasperskyのグローバルリサーチ&アナリシスチーム(GReAT)の主任セキュリティリサーチャーであるPark Seongsu氏は、この有名なグループが、世界中にさまざまな商用ホスティングサービスで多段階のコマンドアンドコントロール(C2)サーバーを常に構成していることを発見しました。
コマンド アンド コントロール サーバーは、脅威アクターがマルウェアを制御し、悪意のあるコマンドをメンバーに送信したり、スパイウェアを整理したり、ペイロードを送信したりするためのサーバーです。
朴氏は、2019年のC2サーバー数は100台未満で、今年7月現在、キムスキ氏はすでに603の危険な司令部を保有しており、朝鮮半島を越えて攻撃がさらに増える可能性があると述べた。
「その歴史は、政府機関、外交機関、メディア、さらにはアジア太平洋地域の暗号通貨企業でさえ、これらの隠された脅威に注意する必要があることを示しています」とPark氏は述べた。
急増するC2サーバーの数は、アジア太平洋地域およびそれ以降で進行中のKimsukyの運用の一部です。2022年初頭、カスペルスキーの専門家チームは、韓国のジャーナリストや外交・学術団体を標的にした攻撃の別の波を観察しました。
この攻撃は「GoldDragon」クラスターと呼ばれ、Wordマクロ文書が埋め込まれたスピアフィッシングメールを送信して感染の連鎖を開始する脅威アクターでした。
さらなる分析により、Park氏はGoldDragonクラスターに関連付けられたサーバーサイドスクリプトを見つけ、専門家がグループのC2操作をマッピングすることができました。
加害者は、潜在的な被害者にスピアフィッシングメールを送信し、追加のドキュメントをダウンロードします。被害者がリンクをクリックすると、電子メールアドレスをパラメータとしてC2サーバーの第1段階への接続があります。第 1 段階の C2 サーバーは、受信電子メール アドレスのパラメーターが予期されるパラメーターであることを確認し、悪意のあるドキュメントがターゲット リストにある場合は送信します。第 1 ステージのスクリプトは、被害者の IP アドレスを次のステージのサーバーに渡します。取得したドキュメントを開くと、2 番目の C2 サーバーに接続します。2 番目の C2 サーバー上の対応するスクリプトは、第 1 ステージ・サーバーから転送された IP アドレスをチェックして、それが同じ被害者からの予期される要求であるかどうかをチェックします。この IP 検証スキームを使用して、アクターは着信要求が被害者からのものであるかどうかを確認します。さらに、オペレータは、OSタイプや定義済みのユーザーエージェント文字列のチェックなど、次の負荷を慎重に送信するために他のプロセスに依存しています。Kimsukyが使用するもう1つの重要なテクニックは、クライアント検証プロセスを使用して、関連する被害者をターゲットにしたいことを確認することです。
「私たちは、キムスキのグループがマルウェア感染スキームを開発し続け、分析を妨げる新しい技術を採用し続けているのを見てきました。このグループを追跡することの難しさは、感染の完全な連鎖を得ることの難しさです」とPark氏は付け加えました。
調査からわかるように、最近、脅威アクターはコマンド&コントロールサーバーに被害者検証手法を採用しました。サーバー側のオブジェクトを取得するのは困難ですが、攻撃者のサーバーとマルウェアを被害者側から分析すれば、脅威アクターがインフラストラクチャをどのように操作し、使用される手法の種類を完全に理解できるとPark氏は考えています。