Konni APTは最近、KakaoTalkアカウントをハイジャックして、非常に標的を絞ったスピアフィッシングを通じてリモートアクセストロイの木馬(RAT)を拡散する多段階のマルウェア操作を実行しました。
メッセージは被害者の役割に合わせた文脈上の内容を使用して信頼を構築し、添付されたアーカイブを開くように誘導しました。
そのアーカイブには、ドキュメントになりすましている悪質なLNKショートカットが含まれていました。実行されると、PowerShellベースのドロッパーがリモートアクセスマルウェアをインストールし、疑惑を避けるためにデコイPDFを開きました。
侵害の後、Konniオペレーターはエンドポイント上に長期的な永続性を維持し、静かに内部ドキュメント、アカウント詳細、およびシステム情報を流出させました。
Genians Securityによる分析によると、キャンペーンは受信者を北朝鮮人権講師として任命する公式通知のふりをしたメールで始まりました。
フォレンジック分析により、攻撃者が予定されたタスクを登録し、「C:\Users\Public\Videos」などの一般的なパスを悪用してコンポーネントをドロップし、マルウェアが通常のシステムアクティビティに溶け込むのを助けていたことが示されました。
時間の経過とともに、感染したホストはデータ盗難と追加のマルウェア段階の両方のプラットフォームになりました。
二次的な拡散のためのKakaoTalkのハイジャック
このインシデントの顕著な特徴は、被害者のKakaoTalk PCセッションを悪用して信頼できるソーシャルグラフ全体に横展開するKonniの能力です。
KakaoTalkデスクトップクライアントへの不正アクセスを取得した後、脅威アクターは被害者のフレンドリストから選別的に連絡先を選択し、LNKベースのローダーを含む追加の悪質なアーカイブを送信しました。
ファイル名とメッセージは北朝鮮関連のビデオ企画資料として作成され、トピック的な関心と既存の関係を活用してクリックを促進しました。
これらのファイルは既知の連絡先からなじみのあるメッセンジャー上で送信されたものに見えたため、受信者はセキュリティ警告をオーバーライドしてペイロードを実行する可能性が高くなりました。
このアカウントベースの伝播により、キャンペーンはメールやウェブトラフィックに焦点を当てた従来の境界防御をバイパスでき、各侵害されたユーザーを効果的に新しい配信ノードに変えました。
PowerShellスクリプトは最初にそれ自体、つまりLNKファイルを見つけて特定します。現在のフォルダ内の「*.lnk」ファイルのリストを収集し、「Length」値が特定の定数「0x001DBB82」と一致するアイテムのみを選択します。
Geniansはこれを単発のスピアフィッシングを超えた多段階の操作として評価し、社会工学、長期的な永続性、および大規模なアカウント悪用を組み合わせています。
内部的には、キャンペーンはAutoItベースのツールと複数のRAT ファミリーに大きく依存していました。最初のLNKドロッパーは、正規のAutoITインタープリターを「.pdf」拡張子でカムフラージュされたファイルと一緒にダウンロードしました。実際にはAutoITコンパイル済みスクリプトが含まれており、その後メインペイロードをアンパックして実行しました。
分析はAutoITコンポーネントをEndRAT、RftRAT、RemcosRATを含むいくつかのRATにリンク付けし、各々がリモートシェルアクセス、ファイル管理、キーロギング、および追加ペイロード配信などの機能を提供しました。
C2インフラストラクチャは、フィンランド、日本、オランダを含む複数の国に分散されたIPアドレスを使用していました。これは復元力と回避のために設計された分散バックエンドを示唆しています。
Geniansはまた、Operation PoseidonおよびAndroid指向のリモート消去アクティビティなど、以前のKonni操作との重複に気付きました。これは同じ北朝鮮関連の脅威クラスターへの帰属を強化しました。
その後、コアペイロードはファイルの中央で識別されます。このファイルには、AutoITコンパイル済みスクリプトで観測されたIdentifier「AU3!EA06」が含まれており、ファイルがAutoITスクリプトコンテナまたはバイトコードデータが含まれていることを強く示唆しています。
異なるRATの時系列での段階的な展開は、単純なコモディティマルウェア実行ではなく、管理されたキャンペーンスタイルのフレームワークを示唆しています。
EDR中心の防御が重要な理由
このインシデントは、適応的なAPTキャンペーンに直面した場合、シグネチャのみおよびIOC中心の防御の限界を強調しています。
注目すべき点は、RftRAT関連のインフラストラクチャが日本ベースのC2サーバー「96.62.214[.]5」を通じて左側の以前のKonniキャンペーンのクラスターに接続していることです。
Konniの多くのテクニック、LNK悪用、AutoItローダー、予定されたタスク、およびKakaoTalk セッションハイジャックは正規のツールとユーザー行動に溶け込みます。これにより、静的ルールだけでは検出が難しくなります。
代わりに、ディフェンダーは異常な動作を関連付けることができるEDR中心のアプローチが必要です:疑わしいLNK実行チェーン、ショートカットから生成されるPowerShell、ユーザー書き込み可能なパブリックパスのAutoItプロセス、通常でないKakaoTalk PCログイン、および繰り返されるタスクスケジューラー作成。
組織はまた、メッセージングクライアントと社会工学に関する制御を強化する必要があります:マクロとショートカット実行ポリシーを強化し、メッセンジャー発信のファイル転送を監視し、ユーザーが「信頼できる」チャット添付ファイルをメールと同じ注意で扱うようにトレーニングします。
Konniがメールのみのフィッシングからアカウント駆動型の伝播および複数RAT スタックに進化し続けるため、エンドポイント動作とアカウント使用に対する持続的な可視性が、同様のKakaoTalk ベースのAPTアクティビティを検出および制御するために不可欠になります。
IoC(侵害の指標)
| タイプ | 値 |
|---|---|
| MD5 | 148405ff05bf15a6a053e4e7c1795d40 |
| MD5 | 2e1b0ac49313873a0e0b982c591a5264 |
| MD5 | 7dc50e8af0070e544bff5299405cd3b9 |
| MD5 | 61f65bd593ea0e52ac0dfdc6bc9cd73a |
| MD5 | 461ade40b800ae80a40985594e1ac236 |
| MD5 | 01022facb38cf60b052e65a682f4a127 |
| MD5 | 3288c284561055044c489567fd630ac2 |
| C2ドメイン | drfeysal[.]com |
| C2 IP | 185.21.14[.]249 |
| C2 IP | 157.180.88[.]26 |
| C2 IP | 96.62.214[.]5 |
| C2 IP | 178.16.54[.]208 |
