本物の国立病院や医療機関の証明書を発行するための通常のプラグインプログラムがインストールされています
2月に発生した国内地上波放送局への攻撃と、日本国際問題研究所になりすました北朝鮮に関連したサイバー攻撃の延長 [보안뉴스 원병철 기자] 最近、韓国の病院や医療センターが発行したかのように装飾された「健康診断証明書」を悪用する北朝鮮関連のハッキング攻撃が発見され、注意と特別な準備が必要です。
▲ヘルスチェック結果リクエスト発行による攻撃画面[자료=이스트시큐리티]
セキュリティ企業である East Security によると、この攻撃は、ヘルス チェックを行った後、巧妙にインターネットの検索および表示サービスに偽装し、悪意のあるファイルを配布したとのことです。 問題は、実際の国立病院や医療機関から証明書を発行するために必要な通常のプラグイン プログラムを組み合わせて、信頼ベースの詐欺が使用されていることです。 特に、プログラムをインストールすれば、通常の病院証明書の発行が可能ですが、同時に予期せぬサイバーセキュリティの脅威にさらされます。
East Security Security Response Center (ESRC) の分析によると、悪意のあるファイルは 2 月 25 日に作成されましたが、実際の攻撃は 3 月に行われ、64 ビット Windows ベースで開発されました。 ファイル内には暗号化された形式の 2 つのリソースがあり、1 つは通常の病院の証明書発行プログラムであり、もう 1 つはバックドアとして秘密裏に機能する悪意のあるファイルです。 この構造により、悪意のあるモジュールと通常のモジュールの両方が同時にインストールされますが、コンピューターの画面には通常のインストール画面のみが表示されます。
2月、ESRCは「財務活動に関する内部財務情報. アジア北東部における軍事的緊張の高まりと日本の対応戦略に関する日本国際問題研究所の年次報告書として、それは疑惑の戦車攻撃事件の延長であることが公式に確認されました。
当時の国営放送会社への攻撃で見つかった脅威指標には、北朝鮮語の「Hyeonsi」、攻撃者の「Freehunter」アカウント、およびコマンド コントロール (C2) サーバー「ms-work »[.]通信情報[.]「店」などの独特の痕跡が見つかりました。 特に、「KGH」のイニシャルは、脅威事件で発見されました。
▲病院の証明書(左)と放送事業者(右)を攻撃する悪意のあるコードの機能の比較[자료=이스트시큐리티]
この攻撃で使用された C2 サーバーは「ms-work」です。[.]方位磁針[.]online」では、前述の特定のブロードキャスターの攻撃アドレスに類似していると分析されており、メイン機能の構造も一致していました。 さらに、2021 年 7 月頃に発見された亜種は、Whale ブラウザ拡張機能を装い、エクスポート関数名「KGH_Backdoor.dll」および「support-hosting」を偽装していました。[.]000webhostapp[.]com」が使用されます。
ESRC は、アカウント名やフォルダー名に「KGH」というキーワードが使用されているさまざまなドキュメントを調査し、英語のイニシャルなど、あらゆる可能性を念頭に置いて、舞台裏で徹底的な脅威調査を行っています。 同様の脅威として、2012年頃に北朝鮮のIPアドレスから海外の特定のサービスにアクセスした履歴が報告されました。
東部安全保障センターの責任者であるジョンヒョン・ムン氏は、「ロシアによって行われたことが知られているデータ破壊のための多くの悪意のあるファイルがウクライナで報告されている一方で、北朝鮮の韓国に関連するサイバー脅威が韓国で絶えず発見されている」と述べた. 発生する可能性があり、非常に注意して準備する必要があります。
一方、East Security は、ALYac ワクチン プログラムに関連する悪意のあるファイルの更新を完了し、サイバー脅威情報を韓国インターネット振興院 (KISA) などの関係当局と緊密に共有して、以前の拡散を防ぐための協力を維持しています。既知の脅威。 あると言う
[원병철 기자([email protected])]
“Typical thinker. Unapologetic alcoholic. Internet fanatic. Pop culture advocate. Television addict.”