北朝鮮の国家支援を受けた脅威グループKimskyは、2026年上半期を通じて一連の高度に洗練されたスピアフィッシングキャンペーンを展開しました。
この脅威グループは、暗号資産投資家、防衛官、企業採用担当者、および学術管理者を積極的にターゲットにしています。
正規のドキュメントに偽装した欺瞞的なLNKおよびJSEファイルを配備することで、攻撃者は複数のセクター全体のシステムに正常に侵入しました。
4つの異なるキャンペーンを分析した最近の脅威インテリジェンスは、Kimskyの方法論における計算された転換を明かしています。
このグループは現在、評判ベースのネットワーク防御をバイパスし、悪意のあるトラフィックをマスクするために、信頼されたプラットフォームを武装化することに大きく依存しています。
カスタム構築インフラストラクチャのみに依存する代わりに、Kimskyは通常のネットワーク活動に溶け込むために「Living off the Land」アプローチを採用しました。
暗号資産セクターをターゲットにしたキャンペーン中に、攻撃者はPump.funと呼ばれるSolanaベースのミームコインプラットフォームに関する偽の技術ドキュメントを配布しました。
その 初期LNKペイロードは、標準のGitHubリポジトリをコマンドアンドコントロールチャネルとして使用した情報盗難ペイロードをドロップしました。
生のGitHub URLを介してデータを流出させることにより、マルウェアは標準的なセキュリティフィルタを簡単にバイパスしながら、システム情報、アクティブなプロセス、およびIPアドレスを静かに盗みました。
さらに高度なテクニックが、公的機関および学術スタッフをターゲットにしたキャンペーンで観察されました。攻撃者は韓国製ワードプロセッサドキュメントに偽装したJavaScriptファイルを使用しました。
実行されると、スクリプトはMicrosoftのコンテンツデリバリーネットワークから公式のMicrosoft Visual Studio Code(VSCode)コマンドラインインターフェースを直接ダウンロードしました。
その後、マルウェアはVSCodeのトンネリング機能を悪用してGitHubからOAuthデバイストークンをリクエストしました。
このトークンを外部サーバーにルーティングした後、攻撃者は手動でそれを認証して、被害者のネットワークへの永続的で検出されないリモートアクセストンネルを確立しました。
攻撃者は、無害なデコイPDFまたはテキストドキュメントを表示しながら被害者をトリックしてペイロードを実行させるために、ダブル拡張子ファイル内に悪意のあるスクリプトを一貫して埋め込みます。
企業採用担当者および医療スタッフを対象とした1つのキャンペーンでは、攻撃者は単一のLNKファイルの末尾データ内にダミー履歴書と悪意のある永続ファイルを隠しました。
実行時に、ペイロードはユーザーアカウント制御を静かに無効にし、Windows Defenderにファイル除外を追加しました。
このグループは、複数の高度なテクニックを通じて堅牢なマルウェア生存を確保しています:
翻訳元: https://cyberpress.org/kimsuky-targets-defense-officials/