C
月内に
北朝鮮のハッキンググループ「Kimsuky」による、顧客を装った標的型メール攻撃
📌 一言でいうと
北朝鮮のハッキンググループ「Kimsuky」による、顧客を装った標的型メール攻撃が確認されました。「個人情報漏洩の疑い」という機密性の高い内容で担当者を誘い出し、信頼関係を構築した後にパスワード付き圧縮ファイルやLNKファイルを送信してマルウェアに感染させます。この攻撃はDropbox APIをC2サーバーとして悪用したり、セキュリティソフトの更新ファイルに偽装して永続性を確保したりする巧妙な手法を用いています。
🔍該当判定
- 顧客や取引先から「個人情報の漏洩が疑われる」という内容のメールを受信した
- メールに添付された「パスワード付きの圧縮ファイル」を解凍して中身を開いた
- ExcelやPDFに見えるが、実際には「ショートカットファイル(.lnk)」を実行した
- セキュリティソフトでブロックされたが、送信者から「誤検知なので大丈夫」と説得された
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 知り合いであっても、不自然なファイル(特にパスワード付き圧縮ファイルやLNKファイル)の受信に注意し、安易に実行しない。 2. メールの送信元アドレスが正しいか、また内容に不自然な点がないか慎重に確認する。 3. OSおよびセキュリティソフトを最新の状態に保ち、不審なプロセスの挙動を監視する。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】顧客を装った不審なメールへの注意について
お疲れさまです。情報システム担当です。
現在、顧客を装い「個人情報の漏洩について」といった内容で、悪意のあるファイルを送りつける攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたパスワード付きの圧縮ファイルや、ショートカットファイル(.lnk)は絶対に開かないでください。
2. 「セキュリティソフトで検知されたが問題ない」といった、相手からの不自然な誘導がある場合は、すぐに情報システム担当まで報告してください。
対応期限: 本日中(確認次第)
お疲れさまです。情報システム担当です。
現在、顧客を装い「個人情報の漏洩について」といった内容で、悪意のあるファイルを送りつける攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたパスワード付きの圧縮ファイルや、ショートカットファイル(.lnk)は絶対に開かないでください。
2. 「セキュリティソフトで検知されたが問題ない」といった、相手からの不自然な誘導がある場合は、すぐに情報システム担当まで報告してください。
対応期限: 本日中(確認次第)
Subject: [Security Alert] Beware of Phishing Emails Impersonating Customers
Dear employees,
We have detected a phishing campaign where attackers impersonate customers and send emails regarding 'suspected personal information leaks' to deliver malware.
What we need from you:
1. Do not open password-protected archives or shortcut files (.lnk) from unknown or suspicious senders.
2. If you receive an email where the sender insists that a file is safe despite security warnings, please report it to the IT security team immediately.
Deadline: Immediate
Dear employees,
We have detected a phishing campaign where attackers impersonate customers and send emails regarding 'suspected personal information leaks' to deliver malware.
What we need from you:
1. Do not open password-protected archives or shortcut files (.lnk) from unknown or suspicious senders.
2. If you receive an email where the sender insists that a file is safe despite security warnings, please report it to the IT security team immediately.
Deadline: Immediate
件名: 【共有】Kimsukyによる標的型攻撃(スピアフィッシング)への対応について
お疲れさまです。Kimsukyによる新キャンペーンに関する情報共有です。
■ 概要
顧客を装い、社会工学的な手法で信頼を得た後、LNKファイルを通じてPowerShellを起動し、システム情報を窃取する攻撃です。Dropbox APIをC2として利用し、また国内セキュリティソフトの更新ファイルに偽装して永続性を確保する挙動が確認されています。
■ 影響範囲
- Windows OSを利用する企業担当者
■ 対応手順
1. Dropbox APIへの不審な通信や、不自然なスタートアップ登録(セキュリティソフト更新ファイルへの偽装)がないかエンドポイントログを確認してください。
2. LNKファイルからPowerShellが呼び出される挙動を検知・ブロックする設定を検討してください。
■ 参考情報
- East Security ESRC 分析レポート
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Kimsukyによる新キャンペーンに関する情報共有です。
■ 概要
顧客を装い、社会工学的な手法で信頼を得た後、LNKファイルを通じてPowerShellを起動し、システム情報を窃取する攻撃です。Dropbox APIをC2として利用し、また国内セキュリティソフトの更新ファイルに偽装して永続性を確保する挙動が確認されています。
■ 影響範囲
- Windows OSを利用する企業担当者
■ 対応手順
1. Dropbox APIへの不審な通信や、不自然なスタートアップ登録(セキュリティソフト更新ファイルへの偽装)がないかエンドポイントログを確認してください。
2. LNKファイルからPowerShellが呼び出される挙動を検知・ブロックする設定を検討してください。
■ 参考情報
- East Security ESRC 分析レポート
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Kimsuky Spear-Phishing Campaign targeting Corporate Employees
Dear Security Team,
We are sharing intelligence regarding a new campaign by the Kimsuky threat actor.
■ Overview
Attackers use social engineering to deliver malicious LNK files that execute PowerShell in the background. The malware utilizes Dropbox API for C2 communication and achieves persistence by masquerading as legitimate security software updates in the startup folder.
■ Scope
- Corporate employees using Windows OS
■ Mitigation Steps
1. Monitor endpoint logs for suspicious communications with Dropbox API and unauthorized startup entries mimicking security software updates.
2. Implement policies to detect or block the execution of PowerShell initiated via LNK files.
■ Reference
- East Security ESRC Analysis
Priority: High
Deadline: Immediate
Dear Security Team,
We are sharing intelligence regarding a new campaign by the Kimsuky threat actor.
■ Overview
Attackers use social engineering to deliver malicious LNK files that execute PowerShell in the background. The malware utilizes Dropbox API for C2 communication and achieves persistence by masquerading as legitimate security software updates in the startup folder.
■ Scope
- Corporate employees using Windows OS
■ Mitigation Steps
1. Monitor endpoint logs for suspicious communications with Dropbox API and unauthorized startup entries mimicking security software updates.
2. Implement policies to detect or block the execution of PowerShell initiated via LNK files.
■ Reference
- East Security ESRC Analysis
Priority: High
Deadline: Immediate