C
月内に
Kimsukyグループによる悪性LNKファイルの配布手法の変化
📌 一言でいうと
Kimsukyグループによる悪性LNKファイルの配布手法の変化が確認されました。攻撃フローは、LNKからPowerShellを経由し、最終的にPythonベースのバックドアを実行させる点では共通していますが、中間段階でXML、VBS、PS1などの複数のファイルを生成・利用する構造へと複雑化しています。最終的にタスクスケジューラを用いてPythonスクリプトを実行し、バックドアをダウンロード・動作させる仕組みとなっています。
🏢影響範囲
韓国の政府機関、対北朝鮮政策研究者、および関連組織
✅該当時の対応
不審なメールに添付されたLNKファイルの実行を禁止し、PowerShellの実行ポリシーを制限すること。また、タスクスケジューラに不審な登録がないか監視し、エンドポイント検出および対応(EDR)ソリューションを導入して異常なプロセス挙動を検知することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメールの添付ファイル(LNKファイル)に関するご注意
お疲れさまです。情報システム担当です。
現在、Kimsukyという攻撃グループによる、巧妙な偽装ファイルを配布する攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたメールの添付ファイル(特にショートカット形式の.lnkファイル)は絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合や、PCの挙動に異常を感じた場合は、すぐに情報システム担当までご連絡ください。
不審なメールには十分にご注意いただき、速やかなご対応をお願いいたします。
お疲れさまです。情報システム担当です。
現在、Kimsukyという攻撃グループによる、巧妙な偽装ファイルを配布する攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたメールの添付ファイル(特にショートカット形式の.lnkファイル)は絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合や、PCの挙動に異常を感じた場合は、すぐに情報システム担当までご連絡ください。
不審なメールには十分にご注意いただき、速やかなご対応をお願いいたします。
Subject: [Security Notice] Warning Regarding Suspicious Email Attachments (.LNK files)
Hi everyone,
Our security team has identified a series of targeted attacks by a group known as Kimsuky, who are distributing malicious files disguised as legitimate documents.
How you can help:
1. Do not open any attachments (especially .lnk shortcut files) from unknown or unexpected senders.
2. If you have accidentally opened a suspicious file or notice any unusual behavior on your computer, please report it to the IT department immediately.
Please remain vigilant and prioritize these precautions.
Hi everyone,
Our security team has identified a series of targeted attacks by a group known as Kimsuky, who are distributing malicious files disguised as legitimate documents.
How you can help:
1. Do not open any attachments (especially .lnk shortcut files) from unknown or unexpected senders.
2. If you have accidentally opened a suspicious file or notice any unusual behavior on your computer, please report it to the IT department immediately.
Please remain vigilant and prioritize these precautions.
件名: 【共有】Kimsukyグループによる悪性LNK配布手法の変化について
お疲れさまです。標的型攻撃の傾向に関する情報共有です。
■ 概要
Kimsukyグループが配布する悪性LNKファイルの実行フローに変化が確認されました。従来は LNK → PowerShell → BAT の単純な構造でしたが、現在は XML, VBS, PS1 などの複数のファイルを中間段階で生成し、実行フローを多層化・複雑化させて検知を回避する傾向にあります。最終的にタスクスケジューラを悪用してPythonベースのバックドアを実行させます。
■ 影響範囲
- Windows OSを利用している全端末
- 特に政府機関、政策研究者、関連組織が標的となる傾向にあります
■ 対応手順
1. EDR等のエンドポイント監視において、不審なタスクスケジューラの登録(例: Microsoft_Upgrade 関連の不審な名称)や、不自然なPythonプロセスの起動を監視してください。
2. PowerShellの実行ポリシーを適切に制限し、不必要なスクリプト実行を抑制してください。
3. ユーザーに対し、不審なLNKファイルの実行禁止を改めて周知してください。
■ 参考情報
- AhnLab SEcurity intelligence Center (ASEC)
対応優先度: 高(速やかな監視体制の確認を推奨)
お疲れさまです。標的型攻撃の傾向に関する情報共有です。
■ 概要
Kimsukyグループが配布する悪性LNKファイルの実行フローに変化が確認されました。従来は LNK → PowerShell → BAT の単純な構造でしたが、現在は XML, VBS, PS1 などの複数のファイルを中間段階で生成し、実行フローを多層化・複雑化させて検知を回避する傾向にあります。最終的にタスクスケジューラを悪用してPythonベースのバックドアを実行させます。
■ 影響範囲
- Windows OSを利用している全端末
- 特に政府機関、政策研究者、関連組織が標的となる傾向にあります
■ 対応手順
1. EDR等のエンドポイント監視において、不審なタスクスケジューラの登録(例: Microsoft_Upgrade 関連の不審な名称)や、不自然なPythonプロセスの起動を監視してください。
2. PowerShellの実行ポリシーを適切に制限し、不必要なスクリプト実行を抑制してください。
3. ユーザーに対し、不審なLNKファイルの実行禁止を改めて周知してください。
■ 参考情報
- AhnLab SEcurity intelligence Center (ASEC)
対応優先度: 高(速やかな監視体制の確認を推奨)
Subject: [Security Advisory] Evolution of Kimsuky Group's Malicious LNK Distribution Method
Dear IT Administrator,
We are sharing technical details regarding a change in the attack vector used by the Kimsuky threat actor.
■ Overview
Recent observations indicate that Kimsuky has evolved its LNK file execution flow. While the end goal remains the execution of a Python-based backdoor, the intermediate stages have become more complex. The current flow involves creating multiple files (XML, VBS, PS1) to decouple the execution flow and evade detection, eventually utilizing the Windows Task Scheduler to trigger the Python script.
■ Scope
- All Windows-based endpoints
- High risk for government agencies, policy researchers, and related organizations
■ Recommended Actions
1. Monitor EDR/SIEM logs for suspicious Task Scheduler registrations (e.g., unusual entries under 'Microsoft_Upgrade') and unexpected Python interpreter executions.
2. Review and tighten PowerShell execution policies to mitigate the risk of unauthorized script execution.
3. Reinforce user awareness training regarding the dangers of opening .LNK attachments from untrusted sources.
■ Reference
- AhnLab SEcurity intelligence Center (ASEC)
Priority: High (Prompt review of monitoring rules is recommended)
Dear IT Administrator,
We are sharing technical details regarding a change in the attack vector used by the Kimsuky threat actor.
■ Overview
Recent observations indicate that Kimsuky has evolved its LNK file execution flow. While the end goal remains the execution of a Python-based backdoor, the intermediate stages have become more complex. The current flow involves creating multiple files (XML, VBS, PS1) to decouple the execution flow and evade detection, eventually utilizing the Windows Task Scheduler to trigger the Python script.
■ Scope
- All Windows-based endpoints
- High risk for government agencies, policy researchers, and related organizations
■ Recommended Actions
1. Monitor EDR/SIEM logs for suspicious Task Scheduler registrations (e.g., unusual entries under 'Microsoft_Upgrade') and unexpected Python interpreter executions.
2. Review and tighten PowerShell execution policies to mitigate the risk of unauthorized script execution.
3. Reinforce user awareness training regarding the dangers of opening .LNK attachments from untrusted sources.
■ Reference
- AhnLab SEcurity intelligence Center (ASEC)
Priority: High (Prompt review of monitoring rules is recommended)