北朝鮮アクターKimsuky、ターゲットを騙してPowerShellコマンドを管理者として入力させる新戦術を採用

2月13日：サイバーセキュリティ関連ニュース

北朝鮮アクターKimsuky、ターゲットを騙してPowerShellコマンドを管理者として入力させる新戦術を採用

BleepingComputer – February 12, 2025

北朝鮮の脅威アクターKimsuky（別称：Emerald Sleet、Velvet Chollima）の新たな戦術について、マイクロソフトが報告。ターゲットユーザーにPowerShellを管理者として実行するよう仕向けるこの手法は、昨年から広まったキャンペーン「ClickFix」にインスパイアされたものだという。今回Kimsukyのような国家型アクターがClickFixを採用したことは、この戦術がいかに効果的であるかを示す証左と捉えられている。

ClickFixは昨年5月に浮上して以来、サイバー犯罪コミュニティで人気を高めているソーシャルエンジニアリング戦術。エラーメッセージやプロンプトなどを利用してターゲットを騙し、有害なコードをターゲット自身に実行させ、マルウェア感染に繋げるというもので、主にインフォスティーラーマルウェアの配布目的で使われている。

関連記事：日本も標的に：Google Meetの偽エラーメッセージがStealCやRhadamanthysなどのスティーラーマルウェアを配布

今回マイクロソフトの脅威インテリジェンスチームが報告したところによると、Kimsukyは新たな戦術において、まず韓国政府を装って標的とする人物との間で時間をかけて信頼関係を築く。ある程度の信頼を勝ち取ることができたのち、同アクターはPDF添付ファイル付きのスピアフィッシングメールを対象人物に送付。しかし、ターゲットはPDFの内容を読もうとすると偽のデバイス登録リンクへと飛ばされ、PowerShellを管理者として開いて攻撃者の提供するコードをペーストするよう誘導されるという。

このコードは、実行されるとブラウザベースのリモートデスクトップツールをインストールし、ハードコードされたPINを使って証明書をダウンロード。さらにターゲットのデバイスをリモートサーバーに登録することで、攻撃者によるダイレクトアクセスを実現するため、攻撃者はデータの抜き取りを行えるようになる。

マイクロソフトによると、同社がこの戦術を観測し始めたのは2025年1月。攻撃範囲は限られており、北米、南米、ヨーロッパ、および東アジアの国際関係に関わる組織やNGO、政府機関、またメディア企業で働く個人が標的になっていたという。

多数のギャンブルサイトがユーザーデータを密かにFacebookと共有

Malwarebytes Labs – February 12, 2025

複数のオンラインギャンブルサイトがユーザーのデータを密かにMeta社と共有していると、The Observer紙が報道。15万件を超える数の英国のギャンブルサイトが隠しトラッキングツールを使って訪問者のデータを抜き取り、そのデータをMetaへ送付しているとされ、ユーザーの訪問したWebページやクリックしたボタンなどの情報を含むこのデータは、その後当該ユーザーをギャンブラーとしてプロファイリングし、Facebookフィードをカジノや賭博サイトの広告であふれ返らせる目的で使われているという。

このようなデータ収集・共有は、ユーザーから明確な同意を得ることなく行われていたとされ、データ保護法に違反しているものとみられる。該当するギャンブルサイトには、HollywoodbetsやSporting Index、Lottoland、Bwinといった人気サイトも含まれるとされる。

The Observerの調査では計150のWebサイトがテストされ、52のサイトにおいて「Meta Pixel」と呼ばれるトラッキングツールの存在が確認された。このツールにより、Webページがロードされると自動でデータが転送され、ユーザーには自身のデータの使用を受け入れたり拒否したりする暇も与えられないという。

アドテク業界を調査するデータプライバシーの専門家、Wolfie Christl氏は、「Metaとデータを共有することは、たとえ同意があったとしても非常に問題だが、明確なインフォームド・コンセントなしにそれを行うことは、法律を露骨に無視しているに等しい。Metaは共犯者であり、説明責任を負わなければならない」とコメントしている。