稀なKimsuky流出、北朝鮮関連APTの戦術とインフラを明らかに
2025-09-07
北朝鮮関連の攻撃者「Kim」によるデータ侵害というまれなセキュリティインシデントにより、Kimsuky(APT43)の戦術、テクニック、インフラに関する前例のない知見が得られました。このグループは、韓国と台湾のネットワークを標的とした、資格情報中心の侵入に焦点を当てており、中国語のツール、インフラストラクチャ、潜在的な兵站支援を組み合わせています。「Kim」のダンプには、bash履歴、フィッシングドメイン、OCRワークフロー、コンパイル済みステージャー、rootkitの証拠が含まれており、DPRKへの帰属と中国のリソース利用の間のハイブリッドな運用が明らかになっています。流出したデータには、マルウェア開発、韓国のPKIおよびVPNドキュメントのOCR解析、台湾の政府機関や学術機関を標的とした偵察活動が含まれています。アナリストは、syscall hookingとステルス持続性を利用した高度なLinux rootkitを発見しました。このインシデントは、北朝鮮の脅威アクターの進化する能力とその中国のリソースとの潜在的なつながりを浮き彫りにしています。
テクノロジー