C
月内に
北朝鮮のAPTグループKimsukyが、製薬会社を標的にExcelファイルに偽装したショートカットファイル(.lnk)を用いてマルウェアを配布しています
📌 一言でいうと
北朝鮮のAPTグループKimsukyが、製薬会社を標的にExcelファイルに偽装したショートカットファイル(.lnk)を用いてマルウェアを配布しています。攻撃者は製薬企業のERP仕様書を装い、LNK→XML→JavaScript→PowerShellという多段階の実行チェーンを用いて検知を回避します。感染すると、32ビット版PowerShellを介して隠しフォルダにペイロードを配置し、機密データの窃取やシステムへのアクセス権限取得を狙います。
🏢影響範囲
製薬業界、ライフサイエンス分野の企業および研究機関
✅該当時の対応
不審な添付ファイル(特に.lnkファイルや二重拡張子ファイル)を開かないこと。エンドポイントセキュリティ製品で指定のハッシュ値を検知・ブロックし、PowerShellの不審な挙動(SysWOW64からの呼び出し等)を監視することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なExcelファイル(ショートカットファイル)への警戒について
お疲れさまです。情報システム担当です。
現在、製薬業界などを狙い、Excelファイルに見せかけた偽のファイルを通じてウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 送信元が不明なメールに添付されているファイル、特に「.lnk」という拡張子のファイルは絶対に開かないでください。
2. ファイルのアイコンがExcelに見えても、実際には異なる形式である可能性があります。不審な点がある場合は、開かずにすぐに情報システム担当までご連絡ください。
対応期限: 本日中(確認次第)
お疲れさまです。情報システム担当です。
現在、製薬業界などを狙い、Excelファイルに見せかけた偽のファイルを通じてウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 送信元が不明なメールに添付されているファイル、特に「.lnk」という拡張子のファイルは絶対に開かないでください。
2. ファイルのアイコンがExcelに見えても、実際には異なる形式である可能性があります。不審な点がある場合は、開かずにすぐに情報システム担当までご連絡ください。
対応期限: 本日中(確認次第)
Subject: [Security Alert] Beware of Suspicious Excel-like Files
Dear employees,
We have received reports of targeted attacks using malicious files disguised as Excel documents, specifically targeting the pharmaceutical and life sciences sectors.
Please follow these guidelines:
1. Do not open attachments from unknown senders, especially those with a ".lnk" extension.
2. Be cautious of files that look like Excel spreadsheets but may be shortcuts or scripts. If you encounter any suspicious files, please report them to the IT security team immediately.
Deadline: Immediate
Dear employees,
We have received reports of targeted attacks using malicious files disguised as Excel documents, specifically targeting the pharmaceutical and life sciences sectors.
Please follow these guidelines:
1. Do not open attachments from unknown senders, especially those with a ".lnk" extension.
2. Be cautious of files that look like Excel spreadsheets but may be shortcuts or scripts. If you encounter any suspicious files, please report them to the IT security team immediately.
Deadline: Immediate
件名: 【共有】Kimsukyによる製薬業界向け標的型攻撃への対応について
お疲れさまです。Kimsukyによる最新のキャンペーンに関する情報共有です。
■ 概要
北朝鮮系APT Kimsukyが、Excelに偽装した.lnkファイルを用いてマルウェアを配布しています。LNK→XML→JS→PowerShellの多段階チェーンを実行し、検知回避のためSysWOW64経由で32bit版PowerShellを起動させ、C:\sysconfigsにペイロードを配置します。
■ 影響範囲
- 製薬・ライフサイエンス関連組織
- Windows OS環境
■ 対応手順
1. 以下のIOC(SHA-256: d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166)をEDR/AVでブロック設定してください。
2. C:\sysconfigs フォルダの作成および、SysWOW64からの不審なpowershell.exe起動を監視してください。
3. ユーザーへの注意喚起を実施してください。
■ 参考情報
- Wezard4u 分析レポート
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Kimsukyによる最新のキャンペーンに関する情報共有です。
■ 概要
北朝鮮系APT Kimsukyが、Excelに偽装した.lnkファイルを用いてマルウェアを配布しています。LNK→XML→JS→PowerShellの多段階チェーンを実行し、検知回避のためSysWOW64経由で32bit版PowerShellを起動させ、C:\sysconfigsにペイロードを配置します。
■ 影響範囲
- 製薬・ライフサイエンス関連組織
- Windows OS環境
■ 対応手順
1. 以下のIOC(SHA-256: d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166)をEDR/AVでブロック設定してください。
2. C:\sysconfigs フォルダの作成および、SysWOW64からの不審なpowershell.exe起動を監視してください。
3. ユーザーへの注意喚起を実施してください。
■ 参考情報
- Wezard4u 分析レポート
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Kimsuky Campaign Targeting Pharmaceutical Sector
Dear Security Team,
This is a technical alert regarding a recent campaign by the Kimsuky APT group.
■ Overview
Kimsuky is utilizing malicious .lnk files disguised as Excel documents. The execution chain follows LNK → XML → JavaScript → PowerShell. To evade 64-bit monitoring tools, the malware invokes the 32-bit version of PowerShell via SysWOW64 and drops payloads into a hidden directory: C:\sysconfigs.
■ Scope
- Pharmaceutical and Life Science organizations
- Windows environments
■ Mitigation Steps
1. Block the following SHA-256 hash in EDR/AV: d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166
2. Monitor for the creation of the C:\sysconfigs directory and anomalous PowerShell execution from SysWOW64.
3. Issue a security awareness notice to employees.
■ Reference
- Wezard4u Analysis
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical alert regarding a recent campaign by the Kimsuky APT group.
■ Overview
Kimsuky is utilizing malicious .lnk files disguised as Excel documents. The execution chain follows LNK → XML → JavaScript → PowerShell. To evade 64-bit monitoring tools, the malware invokes the 32-bit version of PowerShell via SysWOW64 and drops payloads into a hidden directory: C:\sysconfigs.
■ Scope
- Pharmaceutical and Life Science organizations
- Windows environments
■ Mitigation Steps
1. Block the following SHA-256 hash in EDR/AV: d4c184f4389d710c8aefe296486d4d3e430da609d86fa6289a8cea9fde4a1166
2. Monitor for the creation of the C:\sysconfigs directory and anomalous PowerShell execution from SysWOW64.
3. Issue a security awareness notice to employees.
■ Reference
- Wezard4u Analysis
Priority: High
Deadline: Immediate