セキュリティ研究者は、正規のGoogle広告インフラを武器化してEndRATマルウェアを配布する、Konni APTグループに帰属するとされる高度なスピアフィッシング・キャンペーン「Operation Poseidon」を記録しました。
このキャンペーンは、Googleの広告エコシステムに統合された広告クリックのリダイレクト機構を高度に悪用し、従来のメールセキュリティ制御やURLレピュテーションシステムを回避することを示しています。
脅威アクターは、Googleが2008年に31億ドルで買収したDoubleClickの広告トラッキング基盤を悪用し、ユーザーをマルウェアを配布する外部サーバーへリダイレクトする前に信頼性を確立します。
広告リダイレクトURL内にコマンド&コントロール(C2)アドレスを埋め込むことで、攻撃者は悪性トラフィックを正規の広告トラフィックとして偽装し、初期侵入時の検知可能性を大幅に低下させます。
研究者は、悪性AutoItスクリプトに埋め込まれた内部ビルドパスの痕跡を特定しました: D:\3_Attack Weapon\Autoit\Build__Poseidon – Attack\client3.3.14.a3x。
このOPSEC上の失敗により、脅威アクターの内部運用の命名規則と開発環境の構造が明らかになり、Operation PoseidonがKonniインフラ内の独立した運用ユニットとして機能していることを示唆します。
このキャンペーンは複数の高度な回避手法を組み合わせています。スピアフィッシングメールには、CSSのdisplay: none属性で挿入された無意味な英語文が含まれており、ユーザーには見えないままAIベースの検知システムを混乱させます。
1×1ピクセルのWebビーコン(kppe[.]pl)が、Base64でエンコードされた受信者識別子を用いてメール開封を追跡し、ペイロード配信前に標的の有効性を確認します。
攻撃者は2025年5月~7月にNAVERの広告URL(mkt.naver[.]com)を悪用しましたが、最近のキャンペーンではGoogleのインフラを中心に運用を集約しています。
リダイレクトチェーンは次のとおりです: 正規の広告URL → 埋め込まれたC2パラメータ → WordPressホストのマルウェア → LNKファイル実行 → AutoItスクリプト → EndRATのメモリ内実行。
被害者には、正規文書を装ったLNK(Windowsショートカット)ファイルを含む悪性ZIPアーカイブが送付されました。
ファイル名は韓国の金融機関を装い、公式らしい依頼文言を用いていました: 「Request for Submission of Explanation Materials_20250430TS5869570S.zip」および「Wire Transfer and Transaction History Confirmation(20250722).zip」。
2025年12月の攻撃では、北朝鮮の人権団体になりすまして、啓発アカデミーの講師募集を行う手口へと転換しました。
このテーマの変化は、韓国の金融セクターおよび人権コミュニティに対する標的化の一貫性を維持しつつ、運用上の柔軟性を示しています。
LNKファイルの実行によりAutoIt3.exeが起動し、EndRAT(AutoItRAT)亜種を含む偽装PDFスクリプトを処理します。EndRATのコードベースには、endServer9688、endClient9688、endServerFile9688、endClientFile9688といったハードコードされた識別子が含まれています。
最近のサンプルでは内部の「Poseidon – Attack」文字列が削除されており、初期の公開帰属後に脅威アクターが検知シグネチャを認識していたことを示しています。
バージョントラッキング(client 3.3.14)により、継続的なマルウェア保守がキャンペーン固有のツールではなく商用グレードのフレームワークであることが確認されます。
このマルウェアは完全にメモリ上にロードされ、ディスクベースのシグネチャ解析を回避しつつ、コマンド受信およびデータ流出のための双方向C2通信を確立します。
インフラ相関分析により、複数のKonniキャンペーンにまたがるネットワーク資産の再利用が特定されました。相互に関連付けられたメール配信ホスト、Webビーコンドメイン、C2インフラは、統一された運用管理を示しています。
正規Webサイトの地理的分布(日本、欧州、東南アジア)は、Konniの過去の難読化パターンと一致します。
LNKベースの実行、AutoItスクリプティング、北朝鮮人権をテーマとする内容、金融機関のなりすまし、インフラ再利用パターンの組み合わせは、これまでに記録された4つのKonni作戦(Androidのリモートワイプ戦術、国家警察庁/人権委員会のなりすまし、脅威ユニバース分析の拡張、AutoItベースの防御回避手法)と相関します。
組織は、LNK実行後の異常なプロセスツリーを識別できる、振る舞いベースのEndpoint Detection and Response(EDR)ソリューションを実装すべきです。
正規の広告ドメインをブロックするのではなく、セキュリティチームはクリック後のリダイレクトフローおよび広告インフラ内での異常なファイルダウンロードパターンに対する振る舞い検知を強化すべきです。
アーカイブ形式(LNKを含むZIP)は強化されたセキュリティ評価を受けるべきであり、金融機関または人権団体を装うメールについては、添付ファイル経由のアクセスをデフォルトでブロックすべきです。
管理系キーワード(「explanatory materials」「transaction details」「consent forms」)を含むファイルに対して、クリック前検証とユーザー警告バナーを実装することで、ソーシャルエンジニアリングの成功率を低下させます。
重要なMTTR短縮には、ファイルベースの指標(IoC)、マルウェアシグネチャ、機械学習モデル、振る舞い分析を統合した相関分析が必要です。
EDRプラットフォームは、メール添付の展開からLNK実行、C2通信に至るまでの完全な攻撃ストーリーライン を可視化し、権限昇格やラテラルムーブメントが発生する前に、迅速なエンドポイント隔離とインフラ全体での脅威ハンティングを可能にしなければなりません。
Genians Security Centerは、Operation Poseidonがインフラの高度化、技術的回避、ソーシャルエンジニアリングの精密さを組み合わせた成熟したAPTのトレードクラフトであることを文書化しました。
検知には、単独のIoCベースのブロックポリシーだけではなく、脅威アクターのTTPを中心とした多層防御が必要です。
翻訳元: https://cyberpress.org/google-ads-spear-phishing-endrat-malware/