北朝鮮APT「KONNI」による新たな攻撃手法
セキュリティ企業のGenians Security Center(GSC)は、北朝鮮に関連する高度な持続的脅威(APT)グループ「KONNI」による新たなサイバー攻撃キャンペーンを検知しました。この攻撃では、Googleの「Find Hub」サービスが悪用され、Androidデバイスのデータをリモートから消去するという、前例のない手法が用いられています。KONNIは、KimsukyやAPT37といった他の北朝鮮関連グループとの関連も指摘されており、その活動範囲の広さと技術力の高さが改めて浮き彫りになりました。
今回の攻撃は、単なるマルウェア感染に留まらず、正規のデバイス管理機能を悪用することで、被害の深刻さを増大させています。GSCの分析によれば、国家が支援するグループが、Googleの正当な機能を破壊的な目的に利用した初の事例であるとのことです。このことは、APT攻撃におけるリスクが、ますます現実的な脅威として認識されるべきであることを示唆しています。
攻撃者は、心理的な偽装工作を巧妙に利用しています。ストレス解消プログラムを装った悪意のあるファイルを、韓国のKakaoTalkメッセンジャーを通じて拡散。被害者は、心理カウンセラーや脱北者を支援する人権活動家を装った攻撃者からのメッセージを信用し、疑うことなくファイルを実行してしまいます。このソーシャルエンジニアリングの手法は、セキュリティ意識の高いユーザーであっても、欺瞞に陥る可能性を示唆しています。
攻撃の全容:KakaoTalkからFind Hub悪用まで
攻撃は、まず侵害されたKakaoTalkアカウントから、ストレス解消アプリを装ったMSIインストーラーが信頼できる連絡先に送信されることから始まります。被害者が「Stress Clear.msi」を実行すると、通常のインストールウィンドウが表示される一方で、AutoItローダーがバックグラウンドで密かにインストールされます。このローダーは、実行ファイルをパブリックのMusicフォルダにコピーし、スケジュールされたタスクを登録することで、永続性を確立します。そして、コマンド&コントロール(C2)サーバーに接続し、追加のモジュールをフェッチします。
これらのモジュールには、RemcosRAT、QuasarRAT、RftRATなどのリモートアクセス型トロイの木馬(RAT)が含まれていることが多く、C2インフラストラクチャまたは侵害されたPCセッションを通じて配信されます。攻撃者は、盗まれた認証情報を使用して、被害者のGoogleアカウントにアクセスし、Find Hubを通じてリアルタイムの位置情報を追跡します。標的が不在であることを確認すると、リモートリセットコマンドをトリガーし、Androidスマートフォンやタブレットのデータをワイプします。これにより、アラートが無効化され、発見が遅れることになります。
モバイル通知が無効になると、攻撃者はアクティブなKakaoTalk PCセッションを悪用し、さらに悪意のあるファイルを拡散させ、信頼できるソーシャルコネクションを通じてリーチを拡大します。インストーラーの有効に見えるデジタル署名は、疑念を抱かせにくく、セットアップルーチンは分析を妨げるために痕跡を削除します。AutoItスクリプトは、エラーダイアログを装ってループで実行され、複数の国にまたがるC2サーバーとの接続を維持し、新しいペイロードを受信します。
悪用されたGoogleの「Find Hub」機能
今回の攻撃で最も注目すべき点は、Googleが提供する正規のデバイス管理機能である「Find Hub」が悪用されたことです。Find Hubは、紛失したデバイスの位置を特定したり、リモートからロックしたり、データを消去したりするための機能ですが、攻撃者は盗み取ったGoogleアカウントの認証情報を用いて、この機能を悪意のある目的に利用しました。これにより、被害者はデバイス内のすべてのデータを失い、業務やプライベートな活動に大きな支障をきたすことになります。
GSCの分析によれば、Find Hubの悪用は、APT攻撃において現実的なリスクとなり得ることを示しています。攻撃者は、正規の機能を悪用することで、セキュリティ対策を回避し、より効果的に標的を攻撃することが可能になります。また、Find Hubは、多くのユーザーが日常的に利用しているサービスであるため、攻撃に気づきにくいという側面もあります。
心理的偽装工作:ストレス解消アプリを装ったマルウェア
攻撃者は、被害者の心理的な脆弱性を突くために、ストレス解消アプリを装ったマルウェアを配布しました。現代社会において、ストレスは多くの人々が抱える問題であり、特に北朝鮮からの脱北者や人権活動家といった特定のグループは、精神的な負担が大きいと考えられます。攻撃者は、このような状況を利用し、信頼を得やすい心理カウンセラーや人権活動家を装って、マルウェアを拡散しました。
この偽装工作は、被害者が警戒心を解き、マルウェアを実行してしまう可能性を高めます。また、マルウェア自体も、通常のアプリケーションのように見えるように設計されており、セキュリティソフトによる検出を回避する工夫が凝らされています。このように、心理的な操作と技術的な巧妙さを組み合わせることで、攻撃者はより多くの被害者を欺瞞に陥れることに成功しています。
推奨される防御策:多要素認証と行動ベースの異常検知
GSCは、今回の攻撃に対する防御策として、エンドポイント検出と対応(EDR)の監視強化と、行動ベースの異常検知の実装を推奨しています。EDRは、エンドポイントにおける不審な活動を検出し、対応するためのツールであり、マルウェア感染や不正アクセスの早期発見に役立ちます。また、行動ベースの異常検知は、ユーザーやデバイスの通常とは異なる行動を検出し、潜在的な脅威を特定するのに有効です。
さらに、GSCは、Googleアカウントの多要素認証(MFA)の有効化、リモートワイプ要求に対する検証ステップの追加、メッセンジャーファイルのダウンロード前に送信元を確認することを推奨しています。多要素認証は、パスワードが盗まれた場合でも、不正アクセスを防ぐための強力な防御策となります。リモートワイプ要求に対する検証ステップを追加することで、攻撃者がFind Hubを悪用するのを防ぐことができます。メッセンジャーファイルのダウンロード前に送信元を確認することは、ソーシャルエンジニアリング攻撃に対する基本的な対策となります。
進化するAPT攻撃:信頼を悪用する脅威
今回の攻撃は、信頼を悪用する攻撃がますます高度化していることを示しています。攻撃者は、人間の心理的な脆弱性を突き、信頼関係を悪用することで、セキュリティ対策を回避し、より効果的に標的を攻撃することが可能になります。このような攻撃に対抗するためには、技術的な対策だけでなく、セキュリティ意識の向上や、ソーシャルエンジニアリング攻撃に対する知識の普及が不可欠です。
セキュリティ研究者は、認証の強化とリアルタイム監視が、進化するAPTの脅威に対する最良の防御策であると指摘しています。認証の強化は、パスワードの複雑化や多要素認証の導入など、不正アクセスを防ぐための対策です。リアルタイム監視は、ネットワークやシステムにおける不審な活動を継続的に監視し、早期に脅威を検知するための対策です。これらの対策を組み合わせることで、APT攻撃のリスクを大幅に軽減することができます。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Android Devices Targeted by KONNI APT in Find Hub Exploitation - https://www.infosecurity-magazine.com/news/android-devices-targeted-konni-apt/
- -Information Security and IT Security News - https://www.infosecurity-magazine.com/news/