コンテンツにスキップするには Enter キーを押してください

北朝鮮・中国、韓国大使館への攻撃に関与の疑い

投稿日 2025年8月21日

北朝鮮・韓国・中国を表すチェスの駒と、朝鮮半島の線画

出典:Tomas Ragina(Alamy Stock Photo経由)

東南アジアの国家支援型ハッカーが、韓国にある欧州大使館を標的にスピアフィッシング攻撃を仕掛けています。

3月から続くこのキャンペーンでは、北朝鮮のKimsukyグループに酷似した脅威アクターが、韓国の首都にある外交使節団を対象に、少数ながらも影響力の大きい諜報攻撃を個別にカスタマイズすることに多大な労力を注いでいます。

「この詳細さは、深い専門知識を示しています」と、Trellixの脅威インテリジェンスおよびマルウェア研究者であるDuy-Phuc Pham氏は語ります。「これは、北朝鮮がサイバー諜報活動を最も効果的な情報収集手段の一つと見なしていることを裏付けています。コストが低く、スケーラブルで、他の方法では得られない情報を入手できるのです。」

興味深いことに、攻撃者たちは自分たちが中国から、あるいは中国と協力して活動していることを示す明確な痕跡を漏らしています。

大使館へのサイバー攻撃

3月6日、ソウルの中欧大使館に目立たないメールが届きました。送り主は「Kim Taesung」、件名は「ガス施設安全点検サービス」、パスワード付きのzipファイルが添付されていました。あまりにも平凡な内容だったため、Trellixの研究者は、この攻撃が実際に機能するかどうかを試すためのテストだったのではないかと疑っています。

その後の18通のスピアフィッシングメールでは、Kimsukyは送信時期や場所、受信者に合わせて個別にカスタマイズする努力を重ねました。例えば5月13日には、攻撃者は欧州の高官代表団を装い、西欧大使館とやり取りしました。メールには翌日に予定されている「諮問会議」への言及と、その日付に合わせたパスワードが記載されていました。

このような形式が一般的でした。政府関係者や機関を装い、公式の今後のイベントに言及し、その日付に合わせたパスワード付きzipファイルを添付するというものです。

添付ファイル内には、アラビア語、英語、フランス語、韓国語、ペルシャ語、ロシア語など多様な言語で書かれた54種類のPDF誘導文書が含まれていました。約半数は公式な政府文書や外交文書、告知として見せかけられ、数多くのテーマに言及していました。

外交イベントへの招待が多く、時には現実の地政学的動向と一致していました。例えば、両国の関係が明らかに接近していた時期に、韓国とアフリカのケニアでのフォーラムへの招待状などです。ある文書は、イラン大使館が韓国外務省向けに作成したとされる公式文書を正確に模倣していました。さらに、Trellixが政府職員に送られた可能性を疑った国際学校の入学申込書の偽装文書など、より具体的なものもありました。

これらのフィッシング攻撃のいずれかに引っかかると、Powershellスクリプトがダウンロードされ、基本的なシステム情報(OS情報、IPアドレス、実行中のプロセスなど)を盗み、重要なことに攻撃者が管理するGitHubリポジトリと接続する仕組みになっていました。

攻撃者はGitHubリポジトリをコマンド&コントロール(C2)目的で利用し、諜報活動を通常のネットワークトラフィックに紛れ込ませていたと考えられます。悪意あるスクリプトは盗んだデータをリポジトリにアップロードし、リポジトリ内のテキストファイルがスクリプトに次のペイロード(難読化された「XenoRAT」の亜種)のダウンロード先を指示していました。

さらなる秘匿のため、そのテキストファイルは「超高速」で、しばしば1時間に複数回書き換えられていたとPham氏は報告しています。「このような短命のペイロードは、サンドボックス防御技術やリアルタイムのオペレーター監視への深い理解を示しています。これにより、マルウェアのライフサイクルを防御側が検知・遮断するのが非常に困難になります。」

北朝鮮、中国、あるいは両方か?

標的、動機、既知のキャンペーンインフラ、戦術・技術・手順(TTPs)など、あらゆる面でこのキャンペーンは金正恩率いる悪名高いKimsuky組織の典型的な行動を反映していました。

しかし詳細に分析すると、Trellixの研究者は、ハッカーの活動のほぼ3分の2が中国の勤務スケジュールと一致していることを発見しました。彼らは月曜から金曜まで、韓国標準時より1時間早い午前8時から午後6時までの10時間勤務を一貫して行い、中国の主要な祝日には完全に活動を停止していましたが、韓国の祝日にはあまり一貫性がありませんでした。

研究者たちは、いくつかの可能性を示唆しています。中国と北朝鮮の両国がこのキャンペーンで協力している、あるいは実際には中国の作戦であり、意図的に北朝鮮のものに見せかけている可能性。または攻撃者が単に中国国内または中国経由で北朝鮮のために活動している、という米国司法省が過去に記録した現象かもしれません。

Pham氏によれば、悪意あるサイバー活動を中国経由で行うことは、北朝鮮にとって「信頼できるホスティング、緩い取り締まり、地政学的な隠れ蓑」を提供します。実際には、現地当局は自国の利益を直接害さない限り、こうした活動を見て見ぬふりをすることが多いのです。北朝鮮にとっては、サイバー作戦のための便利な『安全な後方基地』となるのです。」

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/china-dprk-south-korean-embassy-attacks

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です