✅ レポートタイトル：金融委員会金融情報分析院に偽装した北朝鮮「KONNI」のマルウェア「LINKON」

S2W脅威インテリジェンスセンター「TALON」は、北朝鮮が支援する脅威グループ「KONNI」のマルウェア「LINKON」に関する分析のレポートを公開しました。

金融委員会金融情報分析院に偽装したマルウェアを確認できる難易度の高い脅威インテリジェンスレポートです。

✅ レポートの要約：

2025年1月23日、「暗号資産事業者検査計画民党定会発表資料_FN2」ファイルに偽装したマルウェア「LNK」が発見され、分析を行いました。

- File name: 가暗号資産産業検査計画民党定会発表資料_FN2.hwp.lnk
- MD5: e37c8f6aba686aab3d7ecedbd1d0ef43
- SHA256: 5a8ecafbd5809000334bf5b940a497d0ed750dd11da8a03796f5ce53257cc892

悪意のあるファイル「LNK」は、実行時にPowerShell命令を介して「LNK」の内部に含まれているDecoyドキュメントと追加のファイルをドロップして実行するマルウェア「LINKON」として識別されます。

KONNVBSとKONNBATは、実行時に永続性を維持するためにスケジューラに特定のスクリプトファイルを登録するか、ハードコーディングされた攻撃者サーバーから追加ファイルをダウンロードして実行します。

📌 マルウェア「LINKON」の詳細

分析した結果、マルウェア「LINKON」は、韓国の行政機関のひとつである金融委員会金融情報分析院を詐称しており、2024年12月20日、同行政機関で行われた「マネーロンダリング防止検査受託機関協議会」関連ドキュメントに偽装したことから、同日以降に暗号資産に関連事業者を対象に使用されたマルウェアと推定されます。

また、ソーシャルエンジニアリング技術を悪用してユーザーの実行を誘導するように設計されており、実行と同時にユーザーに感染事実を隠すために通常のドキュメントのように作られたおとりドキュメントを出力し、マルウェアが実行するすべての行為とコマンドは「隠す」オプションを適用して感染者に見えないように制作されました。

✅ 脅威検出の推奨事項と対策方法：

北朝鮮の「KONNI」グループは、過去から暗号資産業界を狙うテーマのドキュメントファイルを攻撃に悪用してマルウェア「LINKON」をばら撒いている状況が継続的に観察されており、今回も同じタイプのマルウェアを流布しているため注意が必要です。

分析の詳細、対応方法については、下記のリンクよりお問い合わせください。

🧑‍💻 レポート作成者: S2W 「TALON」 (2025年1月24日基準)

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。