北朝鮮の国家支援を受ける脅威グループKimsukyCがサイバー攻撃方法を大幅に更新しました。AhnLabセキュリティインテリジェンスセンター(ASEC)の最近の報告によると、このグループはPythonベースのバックドアを配信するために悪意のあるショートカット(LNK)ファイルを積極的に配布しています。
攻撃者の主な目的である悪意のあるPythonペイロード実行は変わりませんが、Kimsukycは中間実行ステップをはるかに複雑にしました。
感染プロセスを複数の独立したステージに分割し、様々なスクリプトを使用することで、ハッカーは自分たちの活動を隠蔽し、最新のセキュリティ防御を回避しようとしています。
以前のキャンペーンでは、Kimsukycは比較的シンプルで直接的な感染方法に依存していました。被害者が悪意のあるLNKファイルをクリックすると、すぐにPowerShellスクリプトが実行されました。
このスクリプトは単一のバッチ(BAT)ファイルをダウンロードし、次にPythonバックドアを含むZIPファイルをダウンロードしました。
最近、脅威グループはこの中間プロセスを完全に変更し、より目立たないようにしました。
新しい攻撃は依然として悪意のあるLNKファイルで始まりますが、これらは履歴書やデータバックアップガイドなどの無害なドキュメントとして巧妙に偽装されています。
バックドアが安全に抽出されると、別のXMLスケジュールタスクがそれを実行するために使用されます。ASECの研究者は、このPythonマルウェアの2つの異なるバージョンを発見しました:シンプルなダウンローダーとより高度なバックドアです。
ダウンローダーバージョンは攻撃者のサーバーに接続し、ユーザーにウィンドウを表示することなくバックグラウンドで悪意のあるスクリプトを実行してから、180秒後に自身を削除して攻撃の明らかなトレースを消去します。
バックドアバージョンはより危険でインタラクティブです。初回起動時には、コンピュータが正常に感染したことを確認するために、攻撃者のサーバーに「HAPPY」という単語を送信します。
その後、ハッカーから直接コマンドを受け取るために、固定サイズのカスタム通信方式を使用します。
攻撃者は特定の数字コマンドを使用して、コンピュータのハードドライブ空き容量をチェックし、実行中のプログラムを表示し、システムシェルコマンドを実行し、ファイルを秘密裏にアップロードまたはダウンロードできます。
バックドアはランダムデータで安全に上書きすることでファイルを削除することもでき、フォレンジック回復をほぼ不可能にします。
また、スケジュールタスクを設定するために「sch.db」という名前のXMLファイルを使用するという慣行も続けています。さらに、これらのスケジュールタスクの命名規則は、過去のKimsuky操作で使用されたものとほぼ同一でした。
これらの計算された変更は、Kimsukycが主な攻撃の概要を同じに保ちながら、検出を回避するために技術的方法を継続的に改善していることを示しています。
翻訳元: https://cyberpress.org/kimsuky-lnks-drop-backdoor/