スピアフィッシング・キャンペーンがGoogle広告を悪用し、EndRATマルウェアを配布

Genians Security Centerは、正規の広告インフラを悪用してEndRATマルウェアを配布する、Konni脅威グループによるものとされる高度なAPTキャンペーン「Operation Poseidon」の詳細な分析を公開しました。

この高度なスピアフィッシング作戦は、脅威アクターが信頼されたプラットフォームを活用して従来のセキュリティ防御を回避しつつ、韓国の金融機関および人権団体を標的にする手口を示しています。

攻撃チェーンは、正規の広告トラフィックに偽装したURLを含む武器化されたメールから始まります。

攻撃者はユーザーを直接悪意あるサイトへ誘導するのではなく、Google AdsのDoubleClickインフラ（ad.doubleclick[.]net）およびNaverのマーケティングプラットフォーム（mkt.naver[.]com）のリダイレクト機構を悪用します。

URLパラメータ内に悪意あるC2アドレスを埋め込むことで、このキャンペーンは真の宛先を隠蔽し、メールセキュリティのフィルタリングを回避します。

この手法により、初期リダイレクトが信頼された広告プラットフォームから発生しているように見えるため、URLレピュテーションシステムやユーザーの疑念をすり抜ける可能性が大幅に高まります。

被害者が誘導に成功すると、ユーザーはマルウェア配布ポイントおよびコマンド＆コントロール（C2）インフラとして機能する、侵害されたWordPressサイトへ誘導されます。

これらのセキュリティが不十分なWordPress環境は、脅威アクターに迅速なインフラの入れ替え能力を提供し、ドメインやURLに基づくブロッキングポリシーを無力化します。

EndRATペイロードの配信

悪意あるファイルがダウンロードされると、それは圧縮アーカイブとして到着し、正規の文書アイコンやファイル名に偽装した悪意あるWindowsショートカット（LNK）ファイルが含まれています。ファイル名は韓国の金融機関やNGOになりすましています。

単なる難読化にとどまらず、これはAIベースのフィッシング検知システムのロジックを意図的に混乱させるために設計された、高度な回避手法と見なされています。

LNKファイルを実行すると、高度な多段階ペイロードが起動します。このショートカットは、正規のスクリプト言語であるAutoItのスクリプトを実行しますが、さらにPDF文書に偽装されています。

このスクリプトは、追加のユーザー操作を必要とせずに、AutoIt3.exeと悪意あるAutoItベースのリモートアクセス型トロイの木馬（EndRAT）を直接メモリ上にダウンロードします。

AutoItスクリプトのソースコード分析により、内部ビルドパス「D:\3_Attack Weapon\Autoit\Build__Poseidon – Attack\client3.3.14.a3x」を含む重要なメタデータが明らかになりました。

この開発痕跡は、脅威アクターがキャンペーンを内部で「Poseidon」と命名し、独立した運用ユニットとして管理していることを示しており、成熟したインフラと継続的な開発体制を示唆します。

Konni APTへの帰属は、過去に報告されたキャンペーンとの複数の技術的相関によって裏付けられています。

C2インフラ（jlrandsons.co[.]uk）の再利用、一貫したLNKファイル構造、そして北朝鮮の人権テーマを悪用する標的化パターンは、文書化されているKonniの作戦と一致します。

この脅威グループが好むAutoItベースのマルウェア実行と、インフラ隠蔽のために正規サービスのドメインを使用する手口は、彼らの運用プレイブックにおける確立されたTTP（戦術・技術・手順）を示しています。

組織は、シグネチャベースの検知のみに依存するのではなく、振る舞いに基づく脅威分析が可能なEDR（Endpoint Detection and Response）ソリューションを導入する必要があります。

EDRは、不審なAutoItスクリプト実行、メモリ内マルウェア注入パターン、ショートカットファイルによって開始される異常なプロセスチェーンを監視すべきです。

メールセキュリティ制御には、パディングによる回避手法を検出する高度なコンテンツ分析を組み込み、URLサンドボックスは疑わしい広告リダイレクトをデトネーション（実行解析）すべきです。

Operation Poseidonの高度で多層的なアプローチを踏まえると、防御戦略には、脅威アクターに焦点を当てた相関分析と、これら国家支援型作戦に効果的に対抗するための継続的な脅威ハンティング能力が求められます。