✅ レポートタイトル:「Kimsuky」グループのマルウェア「Babyshark」キャンペーンの概要 - 防衛産業に関するドキュメントに偽装したHWPドキュメント
✅ レポートの要約:
- 2025年1月13日、「防衛産業デジタルイノベーションセミナー計画」に偽装したフィッシングメールが確認されました。 - 添付HWPファイルは「Babyshark」型マルウェアをドロップし、C2から悪意あるペイロードを取得します。 - マルウェアは特定ターゲットにのみQuasarRAT等をダウンロードする設計です。 - VBスクリプトやC2形式の共通点から「Kimsuky」グループの関連性が高いと判断されます。
1) サンプル情報
2) マルウェアの動作方法と主な機能
- 添付HWPはOLEオブジェクト付きのマルウェアで、%AppdataLocal%にファイルをドロップし永続性を確保します。 - C2サーバーから指定ターゲット向けにペイロードを実行します。 - QuasarRATが過去ペイロードとして使用された記録があります。
3) 関連性分析
- 「comline」クエリとVBスクリプトのマニフェスト方式は「Babyshark」と一致します。 - タスク名「TemporaryStatescleanesdfrs」も過去の同キャンペーンで使用されました。
4) 対応方法
- 不明な送信元からの添付ファイルは開かず、文書内の未知オブジェクトやリンクの実行をブロックしてください。
📌 メールに添付されたマルウェア添付HWPファイル
- Filename: 韓国防衛産業学会防衛産業デジタルイノベーションセミナー(計画).hwp
- MD5: 63a119714f01d9ff57c51614c9727f84
- Date String: 2017年8月3日木曜日午後4時55分39分
- Last Saved By: scorpion
- Create Time/Data: 2004年11月10日水曜日午前12:23:46
- Last saved Time/Data: 2024年12月12日木曜日午後7時11分34分
- 当該ファイルはパスワード入力で開き、OLEオブジェクトが%AppdataLocal%のTempにファイルを生成します。
- 各リンクの動作: - PDF: default.bat 実行 - DOCX: document.bat 実行
📌 ダウンロードされたペイロード
- URL: hxxps[:]//www[.]elmer[.]com[.]tr/modules/mod_finder/src/Helper/1212_pprb_all/dksleks?newpa=comline
- 保存先: %AppData%/Microsoft/wis.db
- マルウェアはターゲットのIPを確認し、特定対象のみに悪性ペイロード(例:QuasarRAT)を配布。
✅ 脅威検出の推奨事項と対策方法:
- 添付HWPは「Babyshark」型で、C2を介して追加ペイロードを取得する機能を持ちます。
- 過去と同様にQuasarRATが使用された痕跡があります。 - 不明なメール添付を実行せず、未知リンクのブロックを推奨します。
🧑 レポート作成者:S2W「TALON」(2025年1月15日基準)
👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact
*当該レポートは、S2Wのプラットフォーム「QUAXAR(クェーサー)」で全文が提供されています。詳細に関してはお問い合わせください。