北朝鮮がロシア・ウクライナ戦争に参戦中、北朝鮮のハッカー集団がロシアの侵攻ルートに関する情報を収集する目的で、ウクライナにマルウェアを拡散していたことが明らかになった。
グローバルサイバーセキュリティ企業「プルーフポイント」や海外メディアの報道によると、北朝鮮のハッカー集団「TA406」は、今年2月にウクライナの政府機関を標的として、大量のフィッシングメールを送信していたという。TA406は、北朝鮮のハッキンググループ「キムスキー(Kimsuky)」傘下の組織として知られている。
TA406は、実在しないシンクタンク「王立戦略研究所(Royal Institute of Strategic Studies)」の主席研究員を名乗り、フィッシングメールを送信していたことがわかった。メールには、「ゼレンスキー大統領がザルジニー前ウクライナ軍総司令官を解任した理由(Why Zelenskyy fired Zaluzhnyi.lnk.)」といったタイトルのファイルが添付されていた。
TA406は、対象者がリンクにアクセスしなかった日にも複数のフィッシングメールを送り続け、以前のメールは受け取ったか、ファイルをダウンロードするかを問いかけるなど、継続的に攻撃を続けていた。
また、TA406がマルウェアを拡散する前に、ウクライナ政府機関に対して偽のマイクロソフト製セキュリティ警告メッセージを送信し、ログイン認証情報(credentials)の窃取を試みていた形跡も確認された。プルーフポイントによれば、今回使用されたページは、過去に韓国のポータルサイト「ネイバー」のログイン情報を収集する目的でも悪用されたと推測しているという。
プルーフポイントは、「北朝鮮指導部が、作戦地域に駐留している北朝鮮軍にとってのリスクや、ロシアから追加の兵力や兵器の要請がある可能性を把握するための情報を収集している可能性が非常に高い」と分析している。
さらに、「ロシアのハッカー集団が戦術的な戦場情報の収集やウクライナ軍に対する現地での攻撃任務を担っているのに対し、TA406は政治的な情報収集活動に重点を置いていた」と付け加えている。
一方、韓国のサイバーセキュリティ企業も、北朝鮮のハッカー集団の活動に関する報告書を発表している。
ジニアンス・セキュリティセンター(Genians Security Center、以下GSC)によると、北朝鮮のハッカー集団「APT37(ScarCruft)」は、今年3月に国家安全戦略に関するシンクタンクのイベントや、「ロシアに派遣された北朝鮮軍への手紙」などを装って、韓国内の対北活動家を対象に悪質なメールを送信していたという。メールに添付された圧縮ファイルを開くと、マルウェアが作動する仕組みだ。
GSCは、「メールに添付された圧縮ファイルをダウンロードした後、内部に『ショートカット(LNK)形式』のファイルが含まれている場合、そのファイルに絶対にアクセスしてはならない」と警告。また、「セキュリティ管理者は、各端末で発生する動作イベントを常時監視し、脅威を能動的に検出・対応できる体制を整える必要がある」と強調している。