-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
9月2日:サイバーセキュリティ関連ニュース
北朝鮮のAPT37、新たなフィッシング攻撃にRokRATを導入 研究グループ関係者などを標的に
Security Affairs – September 01, 2025
サイバーセキュリティ企業Seqrite Labsにより、北朝鮮と関連のあるグループAPT37(別名Ricochet Chollima、ScarCruft、Reaper、Group123)のフィッシング攻撃キャンペーン「Operation HanKook Phantom」が発見された。
標的は韓国の国家情報研究会(National Intelligence Research Society) に所属する学者や元政府関係者、研究者で、データ窃取・永続化・スパイ活動を目的としているようだ。攻撃では「国家情報研究会ニュースレター第52号(National Intelligence Research Society Newsletter – Issue 52)」と題した偽PDFに加え、偽装された有害なLNKファイルが使われているという。
Seqrite Labsのレポートによると、このLNKファイルが実行されるとペイロードのダウンロード、あるいはコマンドが実行され、標的のシステムを侵害。最終段階で使用されるマルウェアがRokRATで、これはAPT37が作成したものだと考えられている。
また、このマルウェアはスクリーンショットをキャプチャするだけでなく、リモート実行やデータ窃取、マルウェア制御のためのコマンドをサポートしているとのこと。そのほかにも有害なコードがDropbox・pCloud・Yandexを介してC2サーバーと通信し、データの持ち出しとさらなるペイロードの展開を行うと説明された。
今回の分析では、APT37が有害なLNKローダー、PowerShellのファイルレス実行、秘密裏に情報窃取を行うメカニズムを活用し、高度にカスタマイズされたスピアフィッシング攻撃を継続的に実行していることが浮き彫りになったと結論付けられている。
APT37は遅くとも2012年から活動しており、主に韓国の政府機関、防衛機関、軍事機関、メディア機関を攻撃。2018年2月初旬にはAdobe Flash Playerのゼロデイ脆弱性を悪用し、韓国のユーザーにマルウェアを配布した攻撃で注目を集めている。
政府ドメインへのトラフィック、その大半は国を跨ぐかリスキーな「激せま」経路を利用していることが明らかに
ある研究で58か国の政府系Webサイトへのインターネットトラフィックをマッピングした結果、政府ドメインへの流入経路は国境を越えていることが多い上、ネットワーク接続数が極めて少ない、あるいは暗号化されていないケースが多いことが判明したという。
この研究を行ったのは博士課程の学生Rashna Kumar氏で、政府系Webサイトやサービスに向けられた多くのデータが国外から流入しているか、海外のインターネットエクスチェンジポイント(IXP)を利用していることを突き止めた。マレーシア、ノルウェー、南アフリカ、タイといった国では、トラフィックの23~43%が第三国の管轄区域にあるIXPを経由していたと報告されている。
さらにKumar氏は、ニュージーランド政府系サイトに向かうデータの多くがオーストラリアを通過していると指摘。また発展途上国においては政府ドメインへのトラフィックを国外のインフラ経由でルーティングする傾向がより高まり、HTTPSを使ってトラフィックが保護されていない割合が増えることも明らかにした。
そのほか、カナダやスウェーデン、スイス、英国、米国は技術的障害や地政学的ショックに対する耐性が高いものの、アルバニアはHTTPS使用率の低さが、カザフスタンやバングラデシュ、パキスタン、トルコなどは単一の通信事業者への依存度の高さが問題視され、アフリカ諸国については技術的な問題から測定が難しいと記された。
58か国の詳細なデータを示すインタラクティブマップはこちらから確認できる。
【無料配布中!】地政学情勢×サイバー動向の解説レポート
レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』
以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。
目次
- 序論
- ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
- 偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
- 国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
- マルチチャネルインテリジェンスの運用化における課題と関連リスク
とは?.jpg)
