ヘルプファイルを悪用したサイバー攻撃に注意、国内組織も標的

Rapid7はこのほど、「The Updated APT Playbook: Tales from the Kimsuky threat actor group ｜Rapid7 Blog」において、北朝鮮が関与しているとみられる脅威グループ「Kimsuky(別名：Black Banshee、Thalium)」の活動を観察したとして、その新たな攻撃手法を解説した。
○「Kimsuky」の新たな攻撃手法の概要
Kimsukyの標的は主に韓国政府、朝鮮半島統一に関わる個人、韓国政府の利益に関連する専門家とされるが、近年は日本やベトナムなど、アジア太平洋地域にも攻撃範囲を拡大しているとみられている。この脅威グループはこれまでにOfficeドキュメント、ISOファイル、ショートカットファイル(LNKファイル)を悪用したことが確認されている。
今回確認されたサイバー攻撃では、ISO、VHD、ZIP、RARなどのファイル形式に含まれるコンパイル済みHTMLヘルプファイル(Microsoft Compiled HTML Help)の悪用が観察された。コンパイル済みHTMLヘルプファイル(以下、CHMファイルと呼称)は拡張子「CHM」のファイルで、古くからWindowsのヘルプファイルに使用されている。この攻撃手法の変更はセキュリティソリューションの検出を回避する目的があると推測されている。
CHMファイルはJavaScriptを内包できるため、マルウェアの配布などに悪用されることがある。今回確認されたCHMファイルからも悪意のあるJavaScriptが確認されており、ファイルを開くと難読化されたVBスクリプトを展開、保存し、VBスクリプトをログイン時の自動起動コマンドとして登録する。VBスクリプトはシステム情報、Wordファイル、特定フォルダのファイル一覧を窃取する機能を持つ。
○対策
Rapid7は調査中に複数のCHMファイルを発見し、上記以外の攻撃も確認している。これらCHMファイルは2023年から2024年現在に至るまで改良が続けられており、現在も攻撃が進行中と推測されている。
Rapid7はこのような攻撃を回避するために、検知と対応のマネージドサービス(MDR: Managed Detection and Response)などの高度なセキュリティソリューションの導入を推奨している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「Rapid7-Labs/IOCs/Kimsuky_IOCs.txt at main · rapid7/Rapid7-Labs · GitHub」にて公開しており、必要に応じて活用することが望まれている。