ニュースに戻る
速報

北朝鮮Konni APT、AI生成のPowerShellマルウェアでブロックチェーン技術者を標的

1分で読めますソース: BleepingComputer

北朝鮮関連のAPTグループ「Konni」が、AI生成のPowerShellマルウェアを使用し、ブロックチェーン技術者を狙った攻撃を展開。AIを活用したサイバースパイ活動の進化と対策を解説。

北朝鮮Konniグループ、AIを活用したマルウェアでブロックチェーン技術者を標的

北朝鮮に関連する高度持続的脅威(APT)グループ「Konni」(別名:Opal SleetTA406)が、AI生成のPowerShellマルウェアを使用し、ブロックチェーン開発者および技術者を狙った標的型攻撃を展開していることが確認されました。この攻撃は、同グループが人工知能(AI)を活用してサイバースパイ能力を強化し、戦術を進化させていることを示しています。

攻撃の技術的詳細

セキュリティ研究者らは、Konniが検出回避と偵察・データ窃取を目的とした悪意あるPowerShellスクリプトを配布していることを確認しました。このマルウェアは、AI生成またはAI支援によるものと推定されており、攻撃者が迅速にペイロードを反復・難読化することを可能にしています。主な特徴は以下の通りです:

  • PowerShellベースの実行:マルウェアはPowerShellのネイティブ機能を活用し、スクリプトブロックロギングやAMSI(Antimalware Scan Interface)のバイパスなど、従来のセキュリティ制御を回避します。
  • AI駆動の難読化:AIツールの使用により、ポリモーフィックコードの自動生成が可能となり、静的解析やシグネチャベースの検出が困難になっています。
  • 標的型フィッシング:初期アクセスは、ブロックチェーン専門家向けにカスタマイズされたスピアフィッシングメールを通じて行われ、業界ツール、求人情報、技術アップデートを装います。
  • 持続性の確保:マルウェアは、スケジュールタスクやレジストリの変更を通じて持続性を確保し、侵害されたシステムへの長期的なアクセスを維持します。

現時点で、この攻撃キャンペーンに関連する特定のCVE IDは確認されていません。しかし、攻撃手法は、Konniが過去に行ってきたサプライチェーン侵害ソーシャルエンジニアリングと一致しています。

影響分析

北朝鮮の**偵察総局(RGB)**の下部組織であるKonniは、政府、防衛、暗号通貨分野を長年標的としてきました。今回の攻撃キャンペーンは、以下の点を浮き彫りにしています:

  • スパイ活動の目的:グループの主な目的は、知的財産の窃取であり、独自のブロックチェーンコード、暗号鍵、または機密プロジェクト情報の奪取が狙いと考えられます。
  • 金銭的動機:北朝鮮が国家運営資金をサイバー犯罪に依存していることを踏まえ、ブロックチェーン技術者を標的とすることで、暗号通貨の窃取資金洗浄スキームの実行が目的である可能性もあります。
  • 防御回避の複雑化:AI生成マルウェアの使用により、従来のエンドポイント保護では、急速に進化するペイロードの検出が困難になっています。

セキュリティチーム向け推奨対策

ブロックチェーン、フィンテック、暗号通貨分野の組織は、以下の対策を実施することが推奨されます:

  1. PowerShellセキュリティの強化

    • 可能な限り、非管理者ユーザーによるPowerShellの使用を無効化または制限します。
    • PowerShellロギング(スクリプトブロックロギング、モジュールロギング)を有効化し、不審な活動を監視します。
    • AMSIベースの保護を導入し、リアルタイムで悪意あるスクリプトを検出します。

  2. フィッシング対策の強化

    • 技術者向けに標的型セキュリティ意識向上トレーニングを実施し、AI生成のフィッシング誘導のリスクを強調します。
    • メール認証プロトコル(DMARC、DKIM、SPF)を導入し、スプーフィングのリスクを低減します。

  3. 異常行動の監視

    • **エンドポイント検出および対応(EDR)**ソリューションを使用し、不審なPowerShell実行やラテラルムーブメントを特定します。
    • ネットワークセグメンテーションを導入し、重要な環境内でのマルウェア拡散を制限します。

  4. 脅威インテリジェンスの共有

    • 業界団体(例:Blockchain Security Alliance)と協力し、Konniの攻撃キャンペーンに関連する**侵害指標(IOC)**を共有します。

結論

KonniによるAI生成マルウェアの採用は、北朝鮮のサイバー作戦における憂慮すべき進化を示しています。脅威アクターがAIをツールキットに組み込む中、セキュリティチームは行動ベースの検出、積極的な脅威ハンティング、業界横断的な協力を優先し、リスクを軽減する必要があります。特にブロックチェーン開発者は、高度なフィッシングやサプライチェーン攻撃に対して警戒を怠らないようにしましょう。

詳細については、BleepingComputerのオリジナルレポートを参照してください。

共有

TwitterLinkedIn