北朝鮮に関連する国家支援型アクターであるKimsukyが、新たに開発されたGolangベースの情報窃取マルウェア「Troll Stealer」を使用している疑いがあります。このマルウェアは、感染したシステムからSSH、FileZilla、Cドライブのファイルやディレクトリ、ブラウザ、システム情報、スクリーンキャプチャを盗み出すと報告されています。韓国のサイバーセキュリティ企業S2Wによる技術報告書によると、Troll Stealerは、Kimsukyに帰属される既知のマルウェアファミリー、例えばAppleSeedやAlphaSeedマルウェアとの類似性から、Kimsukyとの関連が指摘されています。
Kimsukyは、APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet(以前はThallium)、Nickel Kimball、Velvet Chollimaとしても追跡され、機密情報を盗み出すことで知られています。2023年11月下旬、米国財務省の外国資産管理局(OFAC)によって、北朝鮮の戦略的目標をさらに推進するための情報収集活動に関与しているとして制裁を受けました。近月には、韓国の組織を標的としたスピアフィッシング攻撃を通じて、AppleSeedやAlphaSeedを含む様々なバックドアを配布しているとされています。
S2Wの最新の分析では、韓国の企業SGA Solutionsからのセキュリティプログラムのインストールファイルに偽装したドロッパーを使用して、Troll Stealerを起動していることが明らかにされました。このドロッパーは、マルウェアと共に正当なインストーラーとして実行され、両方とも「D2Innovation Co., LTD」の正当な証明書で署名されており、この会社の証明書が実際に盗まれた可能性が示唆されています。Troll Stealerは、感染したシステム上のGPKIフォルダを盗む能力があり、行政機関や公共組織を標的とした攻撃で使用されている可能性があります。
また、Kimsukyが関与している可能性があるGoベースのバックドア「GoBear」も発見されました。これも「D2Innovation Co., LTD」と関連付けられた正当な証明書で署名されており、コマンドアンドコントロール(C2)サーバーから受け取った命令を実行します。GoBearは、Kimsukyグループの以前のバックドアマルウェアではサポートされていなかったSOCKS5プロキシ機能を追加しています。
【ニュース解説】
北朝鮮に関連する国家支援型ハッカーグループであるKimsukyが、新たに開発したGolangベースの情報窃取マルウェア「Troll Stealer」と、バックドア「GoBear」を韓国を標的に使用している疑いがあります。これらのマルウェアは、感染したシステムから様々な機密情報を盗み出す能力を持っています。特に「Troll Stealer」は、SSH情報、FileZilla、Cドライブ内のファイルやディレクトリ、ブラウザ情報、システム情報、スクリーンキャプチャなどを盗むことが報告されています。また、このマルウェアは、行政機関や公共組織を標的にする可能性があるGPKIフォルダも盗む能力があることが特徴です。
Kimsukyはこれまでにも、機密情報を盗み出すことで知られ、米国財務省から制裁を受けています。このグループは、韓国の組織を標的にしたスピアフィッシング攻撃を通じて、様々なバックドアを配布してきました。今回発見された「Troll Stealer」と「GoBear」は、これらの攻撃活動の一環と見られています。
「Troll Stealer」は、韓国の企業SGA Solutionsのセキュリティプログラムのインストールファイルに偽装したドロッパーを使用して配布され、正当な証明書で署名されているため、検出を回避しやすいという特徴があります。「GoBear」バックドアは、コマンドアンドコントロールサーバーからの命令を実行し、SOCKS5プロキシ機能を追加することで、これまでにない通信の隠蔽を可能にしています。
このような高度なマルウェアの使用は、サイバーセキュリティの脅威がますます複雑化していることを示しています。特に国家支援型のハッカーグループによる攻撃は、その目的や手法が多岐にわたり、対象となる組織や国にとっては大きなセキュリティリスクとなります。今回の事例では、正当な証明書の盗用や、検出を回避するための技術が使用されていることから、サイバーセキュリティ対策の強化が急務であることが改めて強調されます。
長期的な視点では、このような攻撃の検出と防御のためには、最新の脅威情報の共有や、AI技術を活用した自動化されたセキュリティシステムの開発、国際的な協力体制の構築などが重要になってきます。また、企業や組織は、従業員へのセキュリティ教育を強化し、不審なメールやファイルの開封を避けるなど、基本的なセキュリティ対策の徹底も求められます。
from Kimsuky's New Golang Stealer 'Troll' and 'GoBear' Backdoor Target South Korea.
“北朝鮮関連ハッカーグループ、新マルウェアで韓国を標的に” への1件のコメント
北朝鮮に関連する国家支援型ハッカーグループ、Kimsukyが韓国を標的に新たに開発したマルウェア「Troll Stealer」と「GoBear」を使用している疑いがあるという報告は、サイバーセキュリティにおける現代の脅威の複雑さを象徴しています。これらのマルウェアが機密情報を窃取し、特に行政機関や公共組織を標的にする能力を持っていることは、国家安全保障にとって顕著なリスクを示しています。
サイバー攻撃が国家間の対立や競争の新たな形として浮上している現代において、このような高度な攻撃手法は、単に技術的な問題ではなく、国際政治の文脈で捉えられるべきです。国家支援型ハッカーグループの存在は、サイバー空間が従来の戦場と同様に、国家戦略の一環として活用されていることを示しています。
この事件がさらに注目すべきなのは、正当な証明書の盗用や、高度な隠蔽技術を駆使している点です。これらの手法は、今日のサイバーセキュリティの対策を一層困難にし、従来のセキュリティ対策だけでは不十分であることを示唆しています。特に、国家支援型ハッカーグループによる