ヘルプファイルを悪用したサイバー攻撃に注意、国内組織も標的
マイナビニュース2024年3月27日(水)10時49分
Rapid7はこのほど、「The Updated APT Playbook: Tales from the Kimsuky threat actor group |Rapid7 Blog」において、北朝鮮が関与しているとみられる脅威グループ「Kimsuky(別名:Black Banshee、Thalium)」の活動を観察したとして、その新たな攻撃手法を解説した。
○「Kimsuky」の新たな攻撃手法の概要
Kimsukyの標的は主に韓国政府、朝鮮半島統一に関わる個人、韓国政府の利益に関連する専門家とされるが、近年は日本やベトナムなど、アジア太平洋地域にも攻撃範囲を拡大しているとみられている。この脅威グループはこれまでにOfficeドキュメント、ISOファイル、ショートカットファイル(LNKファイル)を悪用したことが確認されている。
今回確認されたサイバー攻撃では、ISO、VHD、ZIP、RARなどのファイル形式に含まれるコンパイル済みHTMLヘルプファイル(Microsoft Compiled HTML Help)の悪用が観察された。コンパイル済みHTMLヘルプファイル(以下、CHMファイルと呼称)は拡張子「CHM」のファイルで、古くからWindowsのヘルプファイルに使用されている。この攻撃手法の変更はセキュリティソリューションの検出を回避する目的があると推測されている。
CHMファイルはJavaScriptを内包できるため、マルウェアの配布などに悪用されることがある。今回確認されたCHMファイルからも悪意のあるJavaScriptが確認されており、ファイルを開くと難読化されたVBスクリプトを展開、保存し、VBスクリプトをログイン時の自動起動コマンドとして登録する。VBスクリプトはシステム情報、Wordファイル、特定フォルダのファイル一覧を窃取する機能を持つ。
○対策
Rapid7は調査中に複数のCHMファイルを発見し、上記以外の攻撃も確認している。これらCHMファイルは2023年から2024年現在に至るまで改良が続けられており、現在も攻撃が進行中と推測されている。
Rapid7はこのような攻撃を回避するために、検知と対応のマネージドサービス(MDR: Managed Detection and Response)などの高度なセキュリティソリューションの導入を推奨している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「Rapid7-Labs/IOCs/Kimsuky_IOCs.txt at main · rapid7/Rapid7-Labs · GitHub」にて公開しており、必要に応じて活用することが望まれている。
○「Kimsuky」の新たな攻撃手法の概要
Kimsukyの標的は主に韓国政府、朝鮮半島統一に関わる個人、韓国政府の利益に関連する専門家とされるが、近年は日本やベトナムなど、アジア太平洋地域にも攻撃範囲を拡大しているとみられている。この脅威グループはこれまでにOfficeドキュメント、ISOファイル、ショートカットファイル(LNKファイル)を悪用したことが確認されている。
今回確認されたサイバー攻撃では、ISO、VHD、ZIP、RARなどのファイル形式に含まれるコンパイル済みHTMLヘルプファイル(Microsoft Compiled HTML Help)の悪用が観察された。コンパイル済みHTMLヘルプファイル(以下、CHMファイルと呼称)は拡張子「CHM」のファイルで、古くからWindowsのヘルプファイルに使用されている。この攻撃手法の変更はセキュリティソリューションの検出を回避する目的があると推測されている。
CHMファイルはJavaScriptを内包できるため、マルウェアの配布などに悪用されることがある。今回確認されたCHMファイルからも悪意のあるJavaScriptが確認されており、ファイルを開くと難読化されたVBスクリプトを展開、保存し、VBスクリプトをログイン時の自動起動コマンドとして登録する。VBスクリプトはシステム情報、Wordファイル、特定フォルダのファイル一覧を窃取する機能を持つ。
○対策
Rapid7は調査中に複数のCHMファイルを発見し、上記以外の攻撃も確認している。これらCHMファイルは2023年から2024年現在に至るまで改良が続けられており、現在も攻撃が進行中と推測されている。
Rapid7はこのような攻撃を回避するために、検知と対応のマネージドサービス(MDR: Managed Detection and Response)などの高度なセキュリティソリューションの導入を推奨している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「Rapid7-Labs/IOCs/Kimsuky_IOCs.txt at main · rapid7/Rapid7-Labs · GitHub」にて公開しており、必要に応じて活用することが望まれている。
「攻撃」をもっと詳しく
「攻撃」のニュース
-
ロシア、ウクライナのエネルギー施設に大規模攻撃 停電発生5月8日18時32分
-
ウクライナ6州の電力施設に攻撃 ロシア軍、ミサイル50発以上5月8日16時23分
-
SecurityScorecard、世界のサードパーティサイバーセキュリティ侵害に関するレポートを発表 - 日本における全侵害の48%がサードパーティ由来の攻撃を起点に -5月8日10時11分
-
D-Link無線ルータの古い脆弱性を悪用する攻撃が発生、交換を5月8日7時33分
-
ラファ攻撃は「人道上の悪夢」、停戦合意に尽力を=国連事務総長5月8日1時35分
-
要あい、止まらない誘惑攻撃で年下男性をノックアウト5月7日22時0分
-
「FF14」にDDoS攻撃 日本データセンターにも影響5月7日19時7分
-
コロンビア大、卒業式縮小5月7日11時18分
-
xzを悪用したサプライチェーン攻撃の顛末、今後も同様の攻撃継続の恐れ5月7日10時47分
-
バスに無人機攻撃、7人死亡5月7日8時47分