TokyoBlackHatNews

gbhackers.com 4分で読了

北朝鮮のハッカーがマルウェア入りExcelを使用した医薬品企業への攻撃を展開

北朝鮮政府が支援するハッカーたちは、マルウェア化されたExcel形式のファイルを使用して医薬品企業とライフサイエンス企業に感染させ、Windowsショートカットファイル、PowerShell、クラウドストレージを悪用してデータを密かに盗む活動を行っています。

このキャンペーンは、医薬品メーカーと関連するライフサイエンス組織に送信される、非常に標的化されたスピアフィッシングメールから始まります。

メールは通常、ERP仕様、生産計画、研究文書などのもっともらしい話題を参照しており、企業受信者に関連があるように見えます。

これらのメールに添付されるのは、Windowsショートカット(LNK)ファイルを含む圧縮アーカイブで、例えば「White Life Science ERP Specification.xlsx」といったように視覚的にExcelドキュメントを装っています。

セキュリティ研究者は、このキャンペーンをKimsuky高度な持続的脅威(APT)に関連付けており、これは研究機関およびヘルスケア組織に対するスパイ活動で知られるグループです。

アイコンとファイル名は、忙しいスタッフがスプレッドシートを開いていると信じるように選択されていますが、実際には隠された一連のコマンドを起動するショートカットを実行しています。

Excel連鎖とPowerShellステージ

被害者が偽のExcelファイルをダブルクリックすると、LNKファイルは静かにcmd.exeを起動し、Microsoft Excelの代わりに高度に難読化されたPowerShellコマンドを実行します。

Image

このコマンドはPowerShellスクリプト(通常はSysWOW64バイナリを使用して正常なWindows活動に溶け込むため)を探して実行し、静的検出を回避するためにシンプルなXORベースの難読化を使用して追加のペイロードをデコードします。

正当性の幻想を保つために、マルウェアは感染が背後で進行している間に、誘引用のExcelワークブックを作成して開きます。

この誘引ファイルには、医薬品操業またはERPデータに関連するもっともらしいテーブルが含まれる場合があり、ユーザーが何か異常なことに気付く可能性を低減させます。

Image

スクリプトは侵害されたホストからシステム情報を収集し、Dropboxにアップロードしてから、実行する追加のコマンドまたはバッチファイルを取得します。

その後のペイロードにはJavaScriptとスケジュール済みタスクコンポーネントが含まれ、永続性を確保し、システムのようなフォルダーに保存され、schtasksを使用して定期的に実行するように登録されます。

他のKimsuky操作では、同様のチェーンが情報盗難マルウェアとカスタムバックドアを配信し、ドキュメント、認証情報、内部研究データを流出させています。

医薬品および研究に対するKimsUkyの焦点

Kimsuky(APT43またはEmerald Sleetとしても知られている)は、政府、研究、および重要な業界対象に対する長期的なスパイ活動を専門とする北朝鮮政府が支援するグループです。

次のステージは、PowerShellダウンローダー(例えば「opakib.ps1」のようなスクリプト)で、コマンド・アンド・コントロール(C2)チャネルとしてDropbox APIを使用します。

Image

過去のレポートでは、北朝鮮のオペレーターが医薬品企業、特に高価値の医薬品またはワクチン開発に携わっている企業を繰り返し標的にしていることが示されています。

Excel形式のルアーの使用は、Officeドキュメント、PDF、およびショートカットファイルを含む日常的なビジネス形式を悪用して機密知的財産と戦略情報を盗む、より広いグループのパターンに適合しています。

マルチステージマルウェア、living-off-the-landバイナリ、およびDropboxなどのクラウドサービスを組み合わせることで、攻撃者は防御者にとって検出とインシデント対応を著しく困難にします。

医薬品およびライフサイエンス組織のセキュリティチームは、特にZIPアーカイブ内で配信される場合、求められていないExcelまたはERP関連の添付ファイルをハイリスクとして扱うべきです。

完全なファイル拡張子の表示の実行、メールゲートウェイでのショートカット添付ファイルのブロック、LNKファイルからの疑わしいPowerShell実行の監視により、この攻撃チェーンを早期に中断できます。

ネットワーク防御者はまた、通常はサービスを使用しないエンドポイントからの異常なDropboxトラフィック、および一時的なまたはマスキングシステムフォルダーに作成された予期しないスケジュール済みタスクまたはスクリプトを監視する必要があります。

研究者および運用スタッフのためのユーザー認識トレーニングと組み合わされた場合、これらの制御により、北朝鮮のオペレーターがExcelスタイルのファイルを正常に武装化して医薬品企業の重要データを侵害する可能性を低減させるのに役立ちます。

翻訳元: https://gbhackers.com/malware-laced-excel-attacks/

ソース: gbhackers.com
#APT43 #Dropbox #Excel #Kimsuky #PowerShell #スピアフィッシング #データ盗難 #マルウェア #北朝鮮 #医薬品

関連記事

OpenClawの脆弱性、ポリシーバイパス攻撃にシステムを露出

重大なGemini CLI脆弱性がサプライチェーンセキュリティ上の懸念を引き起こす

NPMワーム、Namastexパッケージを攻撃、複数のレジストリから秘密情報を窃取