✅ レポートタイトル：北朝鮮が支援するグループ「puNK-003」のマルウェア「Lilith RAT」マルウェアに関する分析レポート

*puNK: partially unidentified North Korean threat actor

S2Wの脅威インテリジェンスセンター「TALON」が分析した北朝鮮が支援する攻撃グループ「puNK」のうち、「puNK-003」が流布したマルウェア「Lilith RAT」に関する詳細分析レポートを発行しました。

S2Wのアナリストが管理している脅威グループ分類体系（下記表1参照）に基づいて外部に公開する初めてのレポート事例です。

✅ レポート内容：

2024年4月24日、S2Wの脅威研究及びインテリジェンスセンター「TALON」は、脱税情報に関する有名な資料リストに偽装したマルウェア「LNK」を発見し、分析を行いました。

発見されたファイル「LNK」は、実行時にファイル内に含まれているDecoyドキュメントをドロップして出力し、ハードコーディングされた攻撃者サーバーから追加ファイルをダウンロードして実行します。

ダウンロードされたファイルは、悪意のあるAutoItスクリプトファイルとそれを実行するための通常のAutoIt3実行が可能なファイルで、最終的にはAutoItスクリプトで再実装されたマルウェア「Lilith RAT」が実行されます。

今回発見されたマルウェア「LNK」は、実行因子に含まれるPowerShellコマンドの構成と、追加ダウンロードされたファイルがすべてAutoItスクリプトで再実装されたマルウェアであるという点で、北朝鮮が支援する攻撃グループ「KONNI」の特徴が見られます。

しかし、今回発見されたマルウェアと「KONNI」グループのマルウェア「LNK」は実行目的に違いがあり、前者はダウンローダーの役割を果たし、後者はドロッパー機能を果たします。

また、この攻撃キャンペーンでは、「KONNI」グループが主に使用するVBSおよびBATスクリプトタイプのマルウェアが使用されていないことも、最大の違いとして現れます。

これらの違いに基づいて、S2Wの脅威アナリストチーム「TALON」は2つの攻撃グループを別々に区別しました。

「TALON」は識別されていない脅威グループに対して別々に管理しており、そのうち北朝鮮が支援する攻撃グループは「puNK」という名前で管理・追跡しています。

「TALON」で追跡している「puNK」グループのリストを表1に示します。

S2Wはこの度、当該マルウェアを流布した黒幕を「puNK-003」、さらに彼らが使用するダウンローダーの役割のマルウェア「LNK」を「CURKON」と命名しました。

下記ブログのリンクよりレポート詳細をご確認いただけます。

ブログでは、「puNK-003」グループの攻撃フローとマルウェア機能と「KONNI」グループとの関連性について詳しく説明しています。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートの詳細: https://bit.ly/3yKzuFn

👉 お問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。