カスペルスキー、APT攻撃グループ「Kimsuky」の攻撃基盤拡大と感染チェーン「GoldDragon」クラスターを確認
- 2022/09/09 11:00
- SecurityInsight
カスペルスキーは9月8日、同社のグローバル調査分析チーム(GReAT)が、主に韓国のシンクタンクを標的として積極的なサイバースパイ活動を行なう、国家が支援するとみられるAPT攻撃グループ「Kimsuky」の攻撃基盤の拡大と、新たな感染チェーン「GoldDragon」クラスターを確認したことを発表した。
GReATのリサーチャーは、同グループのこれまでの活動から、日本を含むアジア太平洋地域の政府機関や外交機関、報道機関、暗号資産関連企業は、この脅威を警戒する必要があると述べている。
Kimsukyが世界各地のさまざまな商用ホスティングサービスを使用して、継続的にマルチステージの指令サーバーを構成しており、2019年の時点では100台未満だった指令サーバーの数は、今年7月の時点で603台まで増加した。指令サーバーの急増は、Kimsukyが朝鮮半島にとどまらない活動を継続していることを表している。
Kimsukyのもう一つの特徴的な手法は、標的が本当にその個人であるかどうかを確認する検証プロセスを用いていること。悪意のある文書と無害な文書が用意されており、検証プロセスを経てどちらかが配信されることも判明している。調査では、「2022年アジア・リーダーシップ・カンファレンス」アジェンダ、謝礼金請求フォーム、オーストラリア外交官の経歴書など、標的とした人が興味を持つであろうさまざまなトピックのおとり文書を確認している。