韓国企業狙うサイバー攻撃の矛先が日本企業へ、JPCERT/CCが警戒呼びかけ
マイナビニュース / 2024年7月10日 8時49分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は7月8日、「日本の組織を狙った攻撃グループKimsukyよる攻撃活動 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、韓国企業を主な標的とする脅威グループ「Kimsuky」が国内の組織を標的にサイバー攻撃を実行したとして注意を喚起した。この攻撃は2024年3月に確認されたものだが、JPCERT/CCは今後も同様の攻撃が継続する可能性があると指摘している。
○Kimsukyの攻撃手法
JPCERT/CCによると、2024年3月に確認された事案においてKimsukyは主に安全保障、外交関係の組織を装ったスピアフィッシング攻撃を使用したという。送付されたメールにはアーカイブファイルが添付されており、次に示すように2重の拡張子のファイルを複数含んでいたとされる。
ファイル1.docx[大量のスペース].exe
ファイル2.docx[大量のスペース].docx
ファイル3.docx[大量のスペース].docx
これらファイルは拡張子間に大量のスペースを挟むことで本来の拡張子(後者)を画面外にはみ出させ、隠蔽する手法を使用している。ユーザーが本来の拡張子に気が付かずにファイルを開こうとすると、実行可能ファイルを実行することになり最終的にマルウェアに感染する。
○影響と対策
この攻撃では侵害の過程で次の情報が窃取される。
システム情報
プロセスの一覧
ネットワーク情報
特定のユーザーフォルダ内にあるファイルの一覧(Downloads、Documents、Desktop)
ユーザーアカウント情報
最終的に展開されるマルウェアはPowerShellスクリプトのキーロガーとされ、クリップボード情報も窃取可能とされる。また、レジストリーを使用した自動起動による永続性を持つ。
この攻撃ではスクリプトを「C:\Users\Public\Pictures\desktop.ini.bak」として保存し、窃取したキーログを「C:\Users\Public\Music\desktop.ini.bak」として保存する特徴がある。セキュリティ担当者にはこれらファイルが存在しないか調査することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Apache HTTP Server 2.4、重要な脆弱性修正 - アップデートを
マイナビニュース / 2024年7月5日 7時32分
-
シグネチャ効かないサイバー攻撃に「脅威ハンティング」で対抗を - JPCERT/CC
マイナビニュース / 2024年7月2日 14時51分
-
日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ
マイナビニュース / 2024年6月27日 8時28分
-
ユーザー自らマルウェアをインストール、偽の警告メッセージに注意
マイナビニュース / 2024年6月19日 8時26分
-
人材紹介会社を装いマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年6月18日 11時31分
ランキング
-
1「マジかw」「すごいことなってる」 お笑い芸人が米オーディション番組で日本人初快挙を遂げる
ねとらぼ / 2024年7月17日 16時9分
-
2「酔っていました」 MLBオールスターの国歌斉唱に「ひどい」と批判 歌手が謝罪
ねとらぼ / 2024年7月17日 10時5分
-
3グーグル「Chrome」深刻度“高”の脆弱性10件に対応するアップデート
ASCII.jp / 2024年7月17日 13時0分
-
4Xの動画「勝手に次も再生される」を防ぐ裏ワザ
ITmedia NEWS / 2024年7月17日 8時30分
-
5iPhoneが海に落下...どうすれば? - いまさら聞けないiPhoneのなぜ
マイナビニュース / 2024年7月17日 11時15分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)