KimsukyがRDP脆弱性「BlueKeep」を悪用し、韓国と日本のシステムを侵害（CVE-2019-0708）

nosa

2025.04.22

4月22日：サイバーセキュリティ関連ニュース

KimsukyがRDP脆弱性「BlueKeep」を悪用し、韓国と日本のシステムを侵害（CVE-2019-0708）

The Hacker News – Apr 21, 2025

韓国のセキュリティ企業AhnLab SEcurity intelligence Center（ASEC）の調査により、北朝鮮の国家支援型脅威アクター「Kimsuky」の関与が疑われる新たな攻撃キャンペーン「Larva-24005」が確認された。

この攻撃では初期アクセスを取得するため、Microsoftリモートデスクトップサービス（RDS）に影響を与えるRDP脆弱性「BlueKeep」（CVE-2019-0708、CVSS：9.8）が悪用されている。これはリモートコード実行を可能にする重大な欠陥で、ワーム化が可能な上、未認証の攻撃者にリモートで任意のプログラムのインストール、データへのアクセス、完全なユーザー権限を持つ新規アカウントの作成を許す恐れがある。ただし、2019年5月にはマイクロソフトから修正プログラムがリリースされており、これを悪用するには細工されたリクエストをRDP経由で標的システムのRDSに送信する必要があるという。

また、マルウェア配布にEメールの添付ファイルを使う、あるいはMicrosoft Office数式エディタの既知の脆弱性（CVE-2017-11882、CVSS：7.8）を悪用する方法も使われたと説明された。初期アクセス獲得後、攻撃者はドロッパーを用いてMySpyマルウェアやRDPWrapをインストール。システム設定を変更してRDPアクセスが可能な状態にしたのち、最終的にKimaLoggerやRandomQueryといったキーロガーを展開してキーストロークの収集を試みたという。

このキャンペーンは主に韓国と日本の複数組織を狙ったものとみられ、韓国では2023年10月以降にソフトウェア、エネルギー、金融の各部門が標的になっている。そのほかにも米国や中国、ドイツ、シンガポール、南アフリカ、オランダ、メキシコ、ベトナム、ベルギー、英国、カナダ、タイ、ポーランドなどが攻撃を受けたようだ。

北朝鮮の暗号資産窃盗グループ、Zoomの「リモートコントロール」機能をハイジャック

SecurityWeek – April 21, 2025

北朝鮮の暗号資産窃盗グループがZoomのリモートコントロール機能を悪用し、暗号資産トレーダーやベンチャー投資家のワークステーションに情報窃取型マルウェアを仕込んでいるという。

非営利団体Security Alliance（SEAL）とサイバーセキュリティ調査会社Trail of Bitsからそれぞれ発表された勧告によると、ベンチャーキャピタル投資家を装った北朝鮮のハッカーからCalendlyのZoomミーティングへのリンクを記載したフィッシングメールが送られていることが確認された。SEALが「Elusive Comet」の名で追跡するこのキャンペーンは、ポッドキャストへの出演を依頼する内容の一般的な広報活動やダイレクトメッセージから攻撃が開始される。

被害者がこの誘いに乗ると、ハッカーは事前打ち合わせと称してZoomミーティングをセッティング。Zoomの通話中に画面共有を求め、その間にリモートコントロール機能を通じたコンピューターの制御を要求する。これを通常のシステム通知のように見せかけることで被害者を欺き、リモートアクセスが許可されるとインフォスティーラーやRAT（リモートアクセス型トロイの木馬）として機能するマルウェアを送り込む。

Zoomのリモートコントロール機能は主催者がアカウント、グループ、またはユーザーレベルで無効にできるが、デフォルトでオンになっている上、許可ダイアログが通常の無害な通知と似ていることが問題視されている。Trail of Bitsも「Zoomのプロンプトで『承認』をクリックすることに慣れているユーザーは、その影響を理解せずにコンピューターの完全な制御を許可してしまう可能性がある」と警告した。SEALのインシデントログによると、このキャンペーンによる損失は「数百万ドル規模」とのこと。