Konni、偽メールとKakaoTalkを組み合わせた新種のハッキングに注意

北朝鮮関連のハッキング組織「Konni」が、スピアフィッシングメールとKakaoTalkを組み合わせた多段階の悪性コード拡散攻撃を展開しており、注意が必要です。セキュリティ企業GenieOn Security Centerは16日、脅威インテリジェンスレポートを通じてこのような攻撃手法を分析し、アカウントベースの再拡散モデルの危険性を記述しました。

今回の攻撃は、「北朝鮮人権講師委嘱案内」といった正規の業務メールに偽装したスピアフィッシングから始まります。攻撃者は添付された圧縮ファイル内の文書アイコンに偽装した悪性ショートカット（LNK）ファイルの実行を誘導し、PCを感染させます。その後、感染したPCにインストールされたKakaoTalk PC版のセッションに非認可でアクセスし、接続情報を奪取する技術を使用します。

攻撃者は、奪取した情報を用いてメッセンジャーの知人に悪性ファイルを再拡散する「信頼ベース」の手法を使います。これは「海外接続」の表示なしに行われるため、検知が難しいという特徴があります。GenieOn側はこれを、奪取したアカウントセッションで周辺人物に二次被害を与える「アイデンティティベース」の攻撃と評価しました。

GenieOn Security Centerは、対応策としてエンドポイント検知・対応（EDR）を中心とした異常行為対応体制の導入と、メッセンジャーセキュリティガイドの策定を提案しました。また、非正常なデータ転送パターンや重要端末のセッション保護の有無を確認し、ショートカットファイルに対するセキュリティ教育と「行為ベース」の検知強化が必要だと強調しました。