北朝鮮が支援するサイバー攻撃組織「APT43」が、標的の組織をスピアフィッシングで攻撃



Googleの脅威分析グループ(TAG)は、北朝鮮が支援しているサイバー攻撃組織「APT43」の下部組織である「ARCHIPELAGO」の活動について説明したレポートを発表しました。

北朝鮮画像ARCHIPELAGOのオペレーターは、標的とファーストコンタクトを取るために、ジャーナリストや専門家になりすますことが多くあります。ARCHIPELAGOは、フィッシングメールを多用しており、メディアやシンクタンクの代表者を装って、北朝鮮問題の専門家にメディアとのインタビューに参加したり、情報提供依頼書(RFI)に協力したりするように求めています。これらの依頼メールでは、標的がリンクをクリックし、インタビューの質問やRFIを閲覧するように促します。標的がリンクをクリックすると、ログイン画面を偽装したフィッシングサイトにリダイレクトされます。このフィッシングページは、ログインフォームに入力された情報を記録し、攻撃者が管理するURLへ送信します。この標的がパスワードを入力すると、これまでやり取りしてきたメールと一致する内容であるために、標的が疑念を持たないようなインタビューの質問が記載された文書や情報提供依頼書(RFI)が表示されます。

サイバー攻撃者は辛抱強く、数週間を費やして標的ユーザーとの信頼関係を築いた後に、マルウェアを送信しています。

さらに、TAGの担当者は次のように「ARCHIPELAGO」の手口について解説しています。「ARCHIPELAGOは、標的と信頼関係を築くために多くの時間と労力を費やしています。悪意のあるリンクやファイルを最終的に送信する前に、数日から数週間にわたってメールでやり取りすることも多くあります。韓国の通信社の記者になりすまして、北朝鮮問題の専門家に取材を依頼するメールを送信する事案も発生しています。受信者がインタビューに応じる意向を示すと、ARCHIPELAGOは数回にわたってコンタクトを続け、最終的にパスワードで保護されたファイルへのOneDriveリンクを送信しますが、このファイルにはマルウェアが仕込まれています。また、このサイバー攻撃者は、全画面のブラウザーウィンドウのようなフィッシングページを使用しています。」

本調査を担当したリサーチャーは、具体的に、次のようにその巧みさを説明しています。「ARCHIPELAGOは、パスワードを窃取する比較的新しいフィッシング手法であるBITBBrowser in the Browser)攻撃を実行するリンクも送信しています。このようなフィッシングページは、正規のブラウザーウィンドウの中に偽のブラウザーウィンドウを表示する仕組みになっており、偽のブラウザーウィンドウは、URLとログイン画面を表示し、ユーザーが正規のログインページにパスワードを入力していると錯覚するように設計されています。」

KnowBe4が「New School」と呼ぶセキュリティ意識向上トレーニングを活用すると、従業員の意識を高めて、スピアフィッシング攻撃を阻止できるようになります。

GoogleTAGによるこのARCHIPELAGOの記事はこちらから参照してください。

原典:Stu Sjouwerman 202346日発信https://blog.knowbe4.com/phishing-from-north-korea

 

Topics: KnowBe4セキュリティ意識向上トレーニングブログ

Get the latest about social engineering

Subscribe to CyberheistNews