KimJongRATとは
KimJongRATは2013年に初めて確認された高度なリモートアクセス型トロイの木馬(RAT)で、国家支援型とされる脅威アクターKimsukyに帰属すると考えられています。このマルウェアは登場以来高度化し、Portable Executable(PE)ファイルとPowerShellペイロードの両方を利用する二重バリアントの配信手法を採用しています。KimJongRATの最新の攻撃は、韓国の政府、防衛、研究分野を標的としており、他地域への波及の可能性もあります。
初期アクセスは、信頼できる機関を装ったフィッシングメールによって行われ、受信者はGitHubにホストされたURLへ誘導されます。このURLはデコイPDFと悪意のあるLNKファイルを含むZIPアーカイブを配信します。悪意のあるLNKファイルが実行されると、VBScriptが起動し、Base64でエンコードされたPowerShellスクリプトをmshta経由でデコード・実行し、その後HTAおよびPEファイルをダウンロードして実行します。HTAファイルは認証情報の抽出などのシステムレベルのタスクを実行し、PEファイルはDLLをブラウザプロセスにインジェクトしてパスワード、Cookie、マスターキーなどの機密データを収集します。
永続化はタスクスケジューラやレジストリのエントリを変更することで確立され、再起動後もマルウェアが活動し続けます。また、仮想環境を検出するアンチVMチェックを行い、検出された場合は自己削除して解析やサンドボックス検出を回避します。盗まれたデータはRC4やAESなどの技術で復号され、システム情報とともに収集され、暗号化されたチャネルを介して攻撃者のC2サーバーに送信されます。さらにキーロギングやクリップボード監視機能を備えており、ユーザー入力を継続的に収集して一時保存した後、C2サーバーに流出させます。
KimJongRATの継続的な進化と展開は、その高度な脅威としての持続性を示しており、強固な検出、緩和、および継続的な監視が求められます。
推奨される対策
- 環境内のIoC(侵害の兆候)を監視し、異常を特定する。
- OEMに従ってWindows環境を最新バージョンにパッチ適用し、多要素認証で保護する。
- 盲点や改善点を明らかにするため、包括的な全方位の脅威評価演習を実施する。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。