本サイトはアフィリエイト広告を利用しています
韓国人「北朝鮮のハッキング組織がMSを装い韓国を標的に悪性コードを拡散」→「本当に愚かな国…」
マイクロソフト(MS)のセキュリティチームを装ったEメールを通じて、韓国ユーザーのPCに侵入する新型の悪性コードが発見された。北朝鮮関連のハッキング組織によるものと推定されるこの悪性コードは、キーボード入力記録やマイク録音など30種類以上の機能でシステムを掌握できることが分かった。
15日、セキュリティ企業Geniansによると、最近、北朝鮮関連のハッキング組織APT37によるものと推定される悪性コード「NarwhalRAT」が、韓国ユーザーを対象に拡散されていることが確認された。
攻撃は、MSアカウントでワンタイム認証コード(OTP)が繰り返し生成される異常な兆候が発見されたという内容のフィッシングEメールから始まる。送信者名は「Microsoftアカウントチーム」と表示されるが、実際の送信ドメインはMSの公式ドメインではないことが確認された。
Eメールはアカウント乗っ取りの可能性に言及し、添付されたセキュリティ案内文を確認するよう誘導する。もし圧縮ファイルを解凍すると、ハングル文書のように見える悪性ショートカット(.lnk)ファイルが現れ、これを実行すると、正常なセキュリティ案内文書が開くと同時に悪性コードのインストールが進行する。
Geniansは、悪性コードがインストールされた後、PC内部に「naverwhale」という名前のフォルダを生成する点に着目し、「Narwhal(イッカク)」と組み合わせた文字の並べ替え方式で「NarwhalRAT」という名前を付けた。「naverwhale」フォルダは、韓国で広く使われているNAVER Whaleブラウザを装う意図と解釈され、韓国ユーザーを主要な標的としていることを示唆しているとGeniansは説明した。
内部コードには、カカオトーク関連のウィンドウを情報収集の対象から別途処理するロジックも含まれている。補助ウィンドウを除外して収集データの精度を高める方式で、韓国ユーザーの環境を考慮して開発された状況と分析される。
NarwhalRATは、攻撃者の遠隔命令により、キーボード入力記録、画面キャプチャ、マイク録音、USBストレージデバイスのファイル収集、遠隔コマンド実行など30種類以上の機能を任意で実行できる。被害者のPCでどのようなプログラムを使用し、どのようなサービスにアクセスしているかを画面とキー入力を通じてリアルタイムで把握できる。
収集されたデータは即座に外部に転送されず、作業ディレクトリに一時保存された後、一括転送される。これはリアルタイムのネットワーク検出を回避するためと解釈される。
Geniansは、今回の攻撃が昨年5月に公開された北朝鮮関連ハッキング組織APT37のPythonベースのバックドア攻撃事例と、構造・手法面で高い類似性を示していると分析した。スピアフィッシングに使われたおとり文書の最終保存者名が「Lailey」と同じで、悪性ショートカットファイルの構造とバッチファイルの難読化方式、タスクスケジューラベースの持続性確保など、多くの部分が一致したと説明した。
Geniansは、「今後も類似した変種として継続的に利用される可能性があるため、ファイルベースの検出と併せて、挙動ベースの検出システムを強化する必要がある」と述べた。
引用元記事:https://n.news.naver.com/article/366/0001171989
↓をクリック頂けるととても励みになります!
