北朝鮮動向に便乗するサイバー攻撃キャンペーンで、「KONNI」と呼ばれるリモートアクセス型のトロイの木馬による脅威が次第に増しているという。解析したCisco Systemsのセキュリティ調査部門「Talos」やCylanceは、今後このマルウェアがさらに進化し、標的型のサイバースパイ攻撃に使われる恐れがあると警鐘を鳴らす。
Talosによると、KONNIは2014年頃から攻撃キャンペーンで度々使わている。北朝鮮動向などに関する内容の攻撃メールを通じて標的のマシンに侵入し、キーボード入力された内容やデスクトップのキャプチャ、ファイルなどの情報を窃取するほか、遠隔操作機能も持つ。
7月上旬に発生した攻撃キャンペーンでは、大陸間弾道ミサイル(ICBM)の発射実験に成功したとする同国の主張を報じた韓国の聨合ニュースの英文記事が「おとり文書」に使われた。攻撃メールに添付されたこの文書ファイルを受信者が開くと、受信者のコンピュータ環境に合わせたKONNIがダウンロードされる可能性がある。
「KONNI」の侵入に使われたおとり文書(出典:Cisco Talos)
Talosの調査では、KONNIと通信する外部のコマンド&コントロール(C&C)サーバに、登山愛好家向けに偽装した英語サイトが使われていたことが分かった。しかし、米国の住所が表記されながらGoogle Mapではソウル市内の地図が表示されるなど、不審な点がみられるという。
Talosの報告をもとにKONNIを解析したというCylanceによれば、現状のKONNIにセキュリティシステムの検知を回避する高度な技術などは見られず、スパイ行為や遠隔操作のための基本的な機能を備える。しかし、北朝鮮情勢が目まぐるしく変化しているだけに、Cylanceは今後数カ月のうちに機能の高度化や新たな機能を実装する亜種が出現する可能性があると予想する。
KONNIに関する過去の攻撃キャンペーンでは、ロシア情勢に関するおとり文書が使われたケースもあったという。Talosは、特におとり文書にあるような国際情勢に関係する組織では、標的型のサイバースパイ攻撃に警戒すべきだと注意を呼び掛けている。
