Konni高度持続的脅威(APT)グループは、侵害されたKakaoTalk PCメッセンジャーアカウントを利用して感染を広げるための新しいマルチステージマルウェア配布キャンペーンを開始しました。
Genians Security Centerによる最近の脅威インテリジェンスレポートによると、攻撃者は北朝鮮関連のテーマを使用した誘い込みを使って初期アクセスを獲得し、長期的な永続化を確立し、既存の被害者を新しい配布チャネルに変えています。
攻撃は、受信者を北朝鮮人権講師に任命する公式通知になりすました非常にターゲットを絞ったスピアフィッシングメールで始まります。
このソーシャルエンジニアリング戦術は、ターゲットの職務上の役割と興味に合致することで信頼を構築するために設計されています。メールには、正当なドキュメントのアイコンに偽装された悪意あるLNKショートカットファイルを保持する添付アーカイブが含まれています。
被害者がLNKファイルをクリックすると、秘密裏に通常のWindows実行フローを悪用して隠されたPowerShellスクリプトを起動します。
疑いを招くのを避けるために、スクリプトは偽のPDFドキュメントをデコードして開き、バックグラウンドで実際の攻撃を静かに準備します。マルウェアは実行直後に元のLNKファイルを削除して、証拠を削除し、フォレンジック調査を複雑にします。
このキャンペーンの特徴的で特に危険な点は、被害者のアクティブなKakaoTalk PCメッセンジャーセッションの悪用です。
初期ターゲットの侵害に成功し、足がかりを確保した後、脅威アクターは被害者のコンピューター上で実行されているメッセージングアプリケーションへの不正アクセスを獲得します。
その後、攻撃者は被害者の友人リストから特定の連絡先を慎重に選択し、追加の悪意あるファイルを送信します。
この攻撃フローは、アカウントベースの伝播を取り込むことで単一の感染を超える複雑な脅威シナリオを表しています。
このような進化する脅威から身を守るために、組織は従来のシグネチャベースの検出を超えて、実際の実行動作に焦点を当てた多層防御セキュリティアプローチを採用する必要があります。
異常な動作相関をサポートするEDR中心の対応フレームワークを利用することで、ディフェンダーはこの複雑なマルチステージ攻撃を信頼されたメッセンジャーネットワークを通じて広がる前に効果的に検出および遮断できます。
翻訳元: https://cyberpress.org/konni-targets-kakaotalk-accounts/