C
月内に
北朝鮮の脅威アクターKimsukyが、PebbleDashプラットフォームをベースとした新しいマルウェアバリアントを用いて組織を標的にしています
📌 一言でいうと
北朝鮮の脅威アクターKimsukyが、PebbleDashプラットフォームをベースとした新しいマルウェアバリアントを用いて組織を標的にしています。Rust言語で記述されたHelloDoorや、最新のバックドアであるhttpMaliceなどのツールが導入されており、VSCode TunnelingやCloudflare Quick Tunnelsといった最新のインフラ技術を悪用して通信を隠蔽しています。攻撃者はLLM(大規模言語モデル)を活用してフィッシングメールを精巧にするなどの戦術的シフトを見せています。
🔍該当判定
- 開発環境で『VSCode Tunneling』や『Cloudflare Quick Tunnels』を利用して外部からアクセスさせている
- 社内でリモート管理ツール『DWAgent』を導入・利用している
- 不審なメールに添付されたファイルやリンクから、VSCodeのインストーラーのようなファイルを実行した
- 韓国に関連する組織や政府機関、またはそれらと取引のある業務に従事している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なメールの添付ファイルやリンクを避け、VSCode TunnelingやCloudflare Tunnelなどの不審なネットワークトンネリングツールの利用を監視・制限することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】KimsukyによるPebbleDashベースの攻撃キャンペーンについて
お疲れさまです。Kimsukyによる最新の攻撃活動に関する情報共有です。
■ 概要
北朝鮮系APTグループKimsukyが、PebbleDashプラットフォームをベースとしたマルウェア(HelloDoor, httpMalice等)を展開しています。特筆すべき点として、Rust言語の採用や、VSCode Tunneling、Cloudflare Quick Tunnelsを用いたC2通信の隠蔽、LLMによるフィッシングメールの高度化が確認されています。
■ 影響範囲
- 標的となる組織のWindows環境
- 開発環境(VSCode等のツールが悪用される可能性あり)
■ 対応手順
1. ネットワークログにおいて、Cloudflare Quick TunnelsやVSCode Tunnelingに関連する不審なアウトバウンド通信がないか確認してください。
2. 組織内で許可されていないリモート管理ツール(DWAgent等)のインストール状況を点検してください。
3. 従業員に対し、精巧なフィッシングメールへの警戒を改めて周知してください。
■ 参考情報
- Securelist: Kimsuky targets organizations with PebbleDash-based tools
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。Kimsukyによる最新の攻撃活動に関する情報共有です。
■ 概要
北朝鮮系APTグループKimsukyが、PebbleDashプラットフォームをベースとしたマルウェア(HelloDoor, httpMalice等)を展開しています。特筆すべき点として、Rust言語の採用や、VSCode Tunneling、Cloudflare Quick Tunnelsを用いたC2通信の隠蔽、LLMによるフィッシングメールの高度化が確認されています。
■ 影響範囲
- 標的となる組織のWindows環境
- 開発環境(VSCode等のツールが悪用される可能性あり)
■ 対応手順
1. ネットワークログにおいて、Cloudflare Quick TunnelsやVSCode Tunnelingに関連する不審なアウトバウンド通信がないか確認してください。
2. 組織内で許可されていないリモート管理ツール(DWAgent等)のインストール状況を点検してください。
3. 従業員に対し、精巧なフィッシングメールへの警戒を改めて周知してください。
■ 参考情報
- Securelist: Kimsuky targets organizations with PebbleDash-based tools
対応優先度: 高
対応期限: 速やかに確認
Subject: [Intel] Kimsuky Campaign using PebbleDash-based Tools
Dear team,
We are sharing intelligence regarding the latest activity of the Kimsuky APT group.
■ Overview
Kimsuky is deploying new malware variants based on the PebbleDash platform, including HelloDoor (Rust-based) and httpMalice. The group is now utilizing advanced evasion techniques such as VSCode Tunneling and Cloudflare Quick Tunnels for C2 infrastructure, and leveraging LLMs to craft more convincing phishing lures.
■ Scope
- Windows environments within targeted organizations
- Development environments (potential abuse of VSCode tools)
■ Recommended Actions
1. Monitor network logs for suspicious outbound traffic associated with Cloudflare Quick Tunnels or VSCode Tunneling.
2. Audit the installation of unauthorized remote administration tools (e.g., DWAgent).
3. Reinforce phishing awareness training for employees, noting the increased sophistication of lures.
■ Reference
- Securelist: Kimsuky targets organizations with PebbleDash-based tools
Priority: High
Deadline: Immediate review
Dear team,
We are sharing intelligence regarding the latest activity of the Kimsuky APT group.
■ Overview
Kimsuky is deploying new malware variants based on the PebbleDash platform, including HelloDoor (Rust-based) and httpMalice. The group is now utilizing advanced evasion techniques such as VSCode Tunneling and Cloudflare Quick Tunnels for C2 infrastructure, and leveraging LLMs to craft more convincing phishing lures.
■ Scope
- Windows environments within targeted organizations
- Development environments (potential abuse of VSCode tools)
■ Recommended Actions
1. Monitor network logs for suspicious outbound traffic associated with Cloudflare Quick Tunnels or VSCode Tunneling.
2. Audit the installation of unauthorized remote administration tools (e.g., DWAgent).
3. Reinforce phishing awareness training for employees, noting the increased sophistication of lures.
■ Reference
- Securelist: Kimsuky targets organizations with PebbleDash-based tools
Priority: High
Deadline: Immediate review