北朝鮮のハッカーグループ・キムスキーのマルウェア「Gold Dragon」がターゲットのみを攻撃する巧妙な手口とは？

北朝鮮の国家支援型ハッカーグループであるキムスキーは、主に韓国系の組織を標的としてさまざまな悪意のある攻撃を行っています。そんなキムスキーが少なくとも5年前から使用している「Gold Dragon」と呼ばれるマルウェアについて、「どうやってセキュリティ研究者のシステムにダウンロードされることなく攻撃対象にのみ到達するようになっているのか？」といった詳細を、ロシアのコンピュータセキュリティ会社・カスペルスキーがレポートにまとめて公開しています。


Kimsuky’s GoldDragon cluster and its C2 operations | Securelist
https://securelist.com/kimsukys-golddragon-cluster-and-its-c2-operations/107258/

How 'Kimsuky' hackers ensure their malware only reach valid targets
https://www.bleepingcomputer.com/news/security/how-kimsuky-hackers-ensure-their-malware-only-reach-valid-targets/

カスペルスキーによると、キムスキーの「Gold Dragon」は2022年の始めごろ、さまざまな韓国企業に対して新しい作戦を開始しており、そこでは無効なダウンロードリクエストをフィルタリングするための新しい手法が採用されていたとのこと。このGold Dragonの手法は非常に強力で、研究者が攻撃者のC2サーバーに正常に接続できた後でも、悪意のある動作をする部分となるペイロードを取得できない仕組みになっているそうです。

キムスキーの攻撃は、北朝鮮と韓国の政治家、外交官、大学教授、ジャーナリストに対し、マルウェアが埋め込まれたWord文書を含むフィッシングメールを送信します。最初に送られるメールには、第1段階の踏み台となるコンピュータであるC2サーバーに被害者を誘導するリンクが含まれており、このサーバーが「リンクにアクセスした人はターゲットかどうか」を判断するという仕組み。アクセスした人のメールアドレスがターゲットのものであれば、追加で悪意のあるドキュメントを送信し、アクセスした人がターゲットのリストにいない場合は、リンクの誘導先から無害なドキュメントのみが配信されます。

第1段階のC2サーバーでは、被害者のメールアドレス、OS(Windowsのみ有効)、最初のアクセスかどうかなどの情報が含まれるほか、被害者のIPアドレスはさらなるチェック項目として第2段階のC2サーバーに転送されます。この2段階のチェックを通過した場合に、被害者に対し悪意のあるマクロを含んだペイロードを取得させ、攻撃として実行します。最終的に、マルウェアはローカルなファイルリスト、ユーザーのキーストローク、保存されているブラウザのログイン資格情報などを盗むことができるとのこと。

カスペルスキーはマルウェア「Gold Dragon」の詳細について、「興味深いことに、このC2スクリプトは被害者のIPアドレスを用いてブログのアドレスを生成します。つまり、被害者ごとに専用の偽ブログを運営する形になっており、これによりマルウェアの露出を減らしています」と説明しています。

カスペルスキーは第2段階までのペイロードしか取得できなかったため、それがマルウェアの仕組みの最終段階なのか、それともさらなる被害者の判別手段が含まれているかは分からなかったとしています。