🔥 この記事の詳細
2026-05-26 更新
C
月内に

2026年4月に韓国国内を標的としたAPT攻撃

脆弱性🌐 英語ソース
📅 2026-05-26📰 asec_ko
📌 一言でいうと
2026年4月に韓国国内を標的としたAPT攻撃が確認されました。攻撃は主にスピアフィッシングを通じて行われ、LNKファイルやPowerShell、AutoItスクリプトを用いて持続性を確保し、機密情報や仮想資産情報を窃取するインフォスティーラーやバックドアをメモリにロードさせる手法が用いられています。攻撃者はGitHubやGoogleドライブなどの正規サービスを悪用して悪意あるファイルを配布しています。
🔍該当判定
  • Windows PCを利用しており、不特定多数または外部から届くメールの添付ファイル(特に.lnkファイル)を開く運用がある
  • 業務でGoogleドライブやGitHubなどのクラウドストレージからファイルをダウンロードして実行することがある
  • 社内でAutoItなどのスクリプト実行ツールを導入・利用している
  • 仮想通貨(暗号資産)の管理や、機密性の高い顧客情報の管理をWindows PCで行っている
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なメールの添付ファイルやリンクを開かないこと。PowerShellやcurl.exeなどのシステムツールの不審な実行を監視し、タスクスケジューラの変更をチェックすること。エンドポイントセキュリティ製品(EDR)を導入し、メモリ内への不正コードロードを検知・遮断すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメールの添付ファイル開封に関する注意について

お疲れさまです。情報システム担当です。
現在、特定の個人や組織を狙った巧妙なフィッシングメールによる攻撃が増加しています。

ご協力をお願いしたいこと:
1. 心当たりのない送信者からのメールや、不自然な添付ファイル(特に.lnkファイルなど)は絶対に開かないでください。
2. メール本文にあるリンクを安易にクリックせず、公式サイトからアクセスするようにしてください。
3. 万が一、不審なファイルを開いてしまった場合は、すぐにPCをネットワークから切り離し、情シス担当まで報告してください。

対応期限: 本日中
Subject: [Security Alert] Caution Regarding Suspicious Email Attachments

Dear Employees,

We have observed an increase in sophisticated spear-phishing attacks targeting specific individuals and organizations.

Please follow these guidelines:
1. Do not open attachments (especially .lnk files) from unknown or suspicious senders.
2. Avoid clicking links within emails; instead, navigate to official websites directly.
3. If you suspect you have opened a malicious file, disconnect your device from the network immediately and report it to the IT security team.

Deadline: Immediate
件名: 【共有】韓国国内向けAPT攻撃動向(2026年4月)への対応について

お疲れさまです。国内向けAPT攻撃の最新動向に関する情報共有です。

■ 概要
スピアフィッシングを起点とし、LNKファイルからPowerShellを介してAutoItスクリプトやHTAファイルを配布する攻撃が確認されています。curl.exeの偽装や、PubNubチャネルを利用したC2通信、メモリへのインフォスティーラー/バックドアロードなどの高度な手法が用いられています。

■ 影響範囲
- Windows OS環境の端末

■ 対応手順
1. EDR/SIEMにて、curl.exeの不審なリネーム実行や、%TEMP%フォルダ内でのHTA/LNKファイル実行を監視してください。
2. タスクスケジューラに「OneDrive更新」などの偽装名で不審なタスクが登録されていないか確認してください。
3. PubNub等の外部通信チャネルへの不審なトラフィックを分析し、遮断を検討してください。

■ 参考情報
- AhnLab APT攻撃動向報告書

対応優先度: 高
対応期限: 2026年4月末まで
Subject: [Threat Intel] APT Attack Trends in South Korea (April 2026)

Dear Security Team,

This is a technical update regarding recent APT activities targeting South Korean entities.

■ Overview
Attackers are using spear-phishing to deliver LNK files that execute PowerShell scripts. These scripts deploy AutoIt scripts or HTA files (via GitHub/Google Drive) to establish persistence through the Task Scheduler. The campaigns utilize PubNub for C2 communication and load info-stealers and backdoors directly into memory.

■ Scope
- Windows-based endpoints

■ Mitigation Steps
1. Monitor for suspicious renaming and execution of curl.exe and unauthorized PowerShell activity.
2. Audit Task Scheduler for entries masquerading as system updates (e.g., OneDrive update).
3. Analyze and block outbound traffic to unauthorized PubNub channels or suspicious external URLs.

■ Reference
- AhnLab APT Trend Report

Priority: High
Deadline: End of April 2026
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-26 のまとめ🔍 記事を検索