北朝鮮の背後ハッキング組織「金星121」が国家情報院の詐称メールで大容量のLNKファイルを流布したことが確認された。金星121は2019年10月、北朝鮮の駐英公使だったテ・ヨンホ(太永浩)氏(現・国民の力の国会議員)をハッキングするなど、国内の対北朝鮮関連人物や機関を主に攻撃してきた組織だ。
イーストセキュリティESRC(セキュリティ対応センター)は最近、金星121の攻撃情況を確認し注意を喚起した。ESRCによると、金星121は先月12~17日の北朝鮮のキム・ジョンウン(金正恩)朝鮮労働党総書記のロシア訪問について、北朝鮮関連の国内活動家の原稿を偽装して関心を誘発した。
ユーザーが「2023-0918キム・ジョンウンの訪露結果」「lnk」というタイトルのファイルをダブルクリックすると、同じ名前のハングルファイルが開き、正常なファイルのように見える。しかし、バックグラウンドでは悪性コードが実行される。この悪性コードは攻撃者が特定拡張子に対する情報収集や伝送、追加ペイロードダウンロードや実行などの命令制御を可能にする。
また、金星121は「20220409国家情報院革新案」「lnk」というタイトルのファイルも流布した。このファイルをダブルクリックすると国家情報院革新方案というハングルファイルが実行され「対外保安に格別に留意して下さい」という注意書きまで出てくる。しかし、同様にバックグラウンドでは悪性コードが自動的に実行される。
◇「敏感・関心度の高い話題」悪用
LNKファイルはショートカットファイルで正常な文書の形をしたまま攻撃対象のシステムにつながる。金星121など北朝鮮の背後ハッキング組織は最近、ワクチンプログラム技術がアップグレードされると、マクロを利用していた従来の攻撃方式からLNKファイルを利用する攻撃方式に変えた。LNKファイルはPDFやHWPファイルに変換が可能で、悪性コード診断を回避できるためだ。
金星121は今年5月、「ワシントン宣言、北朝鮮の核脅威への対応にどれだけ役立つだろうか」「lnk」という50MBサイズのファイルを流布したこともある。50MBという大きさはダミー値が多数含まれた容量だ。攻撃者は悪性コードが含まれたファイルに見えないようにするために意味のないダミー値を含めて容量を増加させている。
北朝鮮は最近、社会的に敏感で関心度の高い話題が発生するたびに、関連コンテンツを悪用してサイバー攻撃を試みている。これは社会工学的ハッキングで単純にシステムセキュリティを突破して情報を引き出すのではなく、ユーザーの情報を全て把握してすべての情報に接近できるため、伝統的なハッキング攻撃より被害が大きいのが特徴だ。
ESRC関係者は「国内外の対北朝鮮関連団体または活動家をターゲットにした北朝鮮ハッキング組織のスピアフィッシング攻撃が日増しに高度化し、その対象もターゲット化されている。電子メールの真偽確認後、添付ファイル・リンク接近または二重認証活性化など個人のセキュリティ意識を高めなければならない」と強調した。
(c)MONEYTODAY
