戦術的デリバリーの進化
北朝鮮のサイバー脅威アクター「Kimsuky」は、単純なマルウェア配布戦略を捨て去りました。現在の攻撃キャンペーンでは、韓国の軍事・企業組織を極めて高い精度で標的にしています。精巧に偽装された企業ポータルや、本物さながらの会議案内を巧みに活用し、さらにリアルタイムのブラウザ検証によってエンドポイントへの侵入成功を確認します。
馴染みのある環境の悪用
戦略的な企業スプーフィング
ENKI Whitehatが最近公開した報告書によると、同グループは2026年4月下旬にかけて複数のキャンペーンを展開しました。一つは、企業向けB2Bメッセンジャーとして広く普及しているソフトウェアのセキュリティインストールページを模倣したものです。もう一つは、正規のWebexのランディング画面を複製したものです。いずれの侵入経路も、日常的に使用される企業向けツールへのユーザーの信頼を巧みに利用しています。
B2Bセキュリティを装ったルアー
メッセンジャーを装ったキャンペーンでは、被害者は標準的なセキュリティソフトウェアのポータルに酷似した画面に誘導されます。「ダウンロード」や「インストール完了」ボタンは、実際には悪意のあるドロッパーを配信するものでした。これらのファイルはnProtect Online SecurityやAhnLab Safe Transactionの正規セットアップファイルを巧みに偽装しています。実行されると、ペイロードは無害なインストーラーを囮として表示する一方、バックグラウンドでは次の感染ステージをひそかに復号化します。
迅速なビジュアル再構築
セキュリティ研究者は、不正なポータルの構築手法に注目すべき点を発見しました。脅威アクターはウリィ銀行のHTMLソースコードをそのままコピーし、レイアウトを変更して偽のロゴを組み込んだだけです。この手口により、サイトをゼロから開発することなく、極めて説得力の高い偽サイトを短時間で構築することができました。
正規の会議データの武器化
Webexエコシステムへの侵入
別のキャンペーンは、KimsukyがWebexの本物のスケジュールデータを悪用したため、より深刻な脅威をもたらしました。不正なインターフェースにはぼかしのかかった会議ログイン画面が表示され、数秒後に「カメラドライバーの更新」を求めるプロンプトが表示されます。このボタンをクリックすると、悪意のあるJSEスクリプトを含むアーカイブファイルが配信されます。このファイルはローダーをひそかに実行しながら、ユーザーを正規のWebexルームへリダイレクトします。
事前偵察と信頼の増幅
分析者は、攻撃者がイベント開催前に参加者の一人のアカウントを侵害していた可能性が高いと判断しています。この最初の侵害によって企業カレンダーへのアクセスが可能となり、その実際の情報をもとに、残りの参加者を標的とした高度にカスタマイズされたフィッシングポータルが構築されました。この手法は攻撃の心理的な信頼性を大幅に高めます。被害者は具体的なコンテキストを認識しているため、ソフトウェアの更新を求める画面に対する疑念が事実上無効化されます。
高度なアーキテクチャのヒューリスティクス
JSONPingによる検証手法
技術レポートでは、「JSONPing」と呼ばれる独自の検証手法が紹介されています。フィッシングのアーキテクチャは、マルウェアが起動するローカルサーバーとの通信にJSONPリクエストを活用しています。これにより、ブラウザはリモートからのレスポンスをスクリプトとして実行します。このループによって、ウェブページはエンドポイントへの感染が成功したかどうかをリアルタイムで判断できます。初回の侵害が失敗した場合、ポータルはソフトウェアのプロンプトを繰り返し表示し続けます。
HttpSpyの詳細分析
調査担当者は、最終的なペイロードがリモートアクセス型トロイの木馬「HttpSpy」の高度に洗練されたバリアントであることを特定しました。以前のバージョンは単一の実行可能なバイナリとして動作していましたが、この最新バージョンは実行チェーンを個別のコンポーネントに分割しています。新しいフレームワークでは、インストーラー、ローダー、主要モジュールがそれぞれ独立した形で構成されています。この構造的な分割により、フォレンジック分析が複雑化する一方で、攻撃者には優れた配信の柔軟性がもたらされています。
RATの動作機能
HttpSpyは包括的な管理型トロイの木馬として機能します。マルウェアはHTTP POSTリクエストを介してコマンドサーバーとの持続的な接続を確立します。送信データはRC4で暗号化され、Base64でエンコードされます。広範なコマンドマトリックスにより、任意のシェル実行やファイル操作が可能です。さらに、スクリーンショットの取得、正規プロセスへのDLLインジェクション、ローカルイベントログの徹底的な削除といった機能も備えています。
回避戦術と帰属の確認
環境チェック
持続性を維持するため、感染チェーンはWindowsタスクスケジューラまたはレジストリの変更を利用します。また、ローダーは初期化時に厳格なアンチ解析チェックを実行します。VMware、VirtualBox、または一般的なセキュリティ研究ツールが検出された場合は即座に終了します。この防御的なフィルタリングにより、サンドボックスや自動解析環境でマルウェアの動作特性が露呈するのを防いでいます。
フォレンジックによる帰属分析
ENKI Whitehatは、複数の明確な技術的共通点に基づき、これらのキャンペーンをKimsukyによるものと断定しています。複数のサンプルが同一のRC4暗号化キーとコードテンプレートを共有していました。また、一貫したエクスポート関数名を使用し、regsvr32経由でDLLを実行していました。さらに、インフラストラクチャの重複も確認されています。これらの指標には、攻撃者が管理するサーバーでのデフォルトのXAMPP HTTPS証明書の繰り返し使用が含まれます。
メタデータの相互参照
最後に、特定のフィッシング文書が韓国の著名な企業の内部管理リソースを装っていました。抽出された2つのJSEスクリプトは、Webexキャンペーンで発見されたものと全く同一のHttpSpyバリアントを配信していました。注目すべきことに、囮文書の一つのメタデータには「jira」というユーザー名が含まれており、このアーティファクトはローダーの一つに埋め込まれた内部PDBコンパイルパスと一致していました。
戦略的考察
脅威環境の進化
本レポートは、Kimsukyが配信戦術を大幅に進化させたことを示しています。同グループはリアルタイムで感染の成功を検証し、実際の企業イベントに基づいてフィッシングフレームワークを構築しています。標的にとって、この侵害は標準的なメールセキュリティを完全に迂回するものです。それは公式な会議の直前に発生する、ごく普通の企業手続きとして現れます。
翻訳元: https://meterpreter.org/kimsuky-httpspy-malware-analysis/
