2025年6月、サイバーセキュリティコミュニティは揺れ動いた。悪名高い北朝鮮のハッキンググループKimsuky APTのメンバーが大規模なデータ流出の犠牲となり、数百ギガバイトの機密内部ファイル、ツール、運用詳細が明らかになった。Slow Mistのセキュリティ専門家によると、漏洩したデータにはブラウザ履歴、詳細なフィッシングキャンペーンのログ、TomCatカーネルバックドアや修正されたCobalt Strikeビーコン、Ivanti RootRotエクスプロイト、ToyboxのようなAndroidマルウェアのカスタムバックドアと攻撃システムのマニュアルが含まれていました。二つの侵害されたシステムとハッカー「KIM」この侵害は「KIM」として知られる個人が運営する2つの侵害されたシステムに関連しており、一つはLinux開発者用ワークステーション(Deepin 20.9)、もう一つは公開アクセス可能なVPSサーバーでした。Linuxシステムはマルウェア開発に使用された可能性が高く、VPSはフィッシング資料、偽のログインポータル、およびコマンド・アンド・コントロール(C2)インフラをホストしていました。この漏洩は「Saber」と「cyb0rg」と名乗るハッカーによって行われ、彼らは両システムの内容を盗み公開したと主張しています。「KIM」に関するいくつかの証拠は、既知のKimsukyインフラストラクチャに関連付けられていますが、言語的および技術的な指標は、中国との可能性のある関係も示唆しており、真の起源は不明のままです。サイバー諜報の長い歴史Kimsukyは少なくとも2012年から活動しており、北朝鮮の主要な情報機関である偵察総局に関連しています。これまで政府、シンクタンク、防衛請負業者、学術界をターゲットにしたサイバー諜報に特化してきました。2025年、DEEP#DRIVEのようなキャンペーンは、複数段階の攻撃チェーンに依存していました。これらは通常、文書に偽装されたLNKショートカットファイルを含むZIPアーカイブで始まり、開かれるとPowerShellコマンドを実行して、Dropboxのようなクラウドサービスから悪意のあるペイロードをダウンロードしました。偽の文書を使用して正当なものに見せかけました。高度なテクニックとツール2025 年春、Kimsuky は ZIP アーカイブ内に隠された VBScript と PowerShell の組み合わせをデプロイしました。ログキー入力クリップボードデータを盗むブラウザから暗号通貨ウォレットキーを収穫する(Chrome、Edge、Firefox、Naver Whale)攻撃者は、悪意のあるLNKファイルをVBScriptsと組み合わせてmshta.exeを実行し、DLLベースのマルウェアを直接メモリにロードしました。彼らはカスタムRDP Wrapperモジュールとプロキシマルウェアを使用して、隠れたリモートアクセスを可能にしました。forceCopyのようなプログラムは、標準的なパスワードアクセスアラートをトリガーすることなく、ブラウザの設定ファイルから認証情報を抽出しました。信頼できるプラットフォームの悪用Kimsukyは人気のあるクラウドおよびコードホスティングプラットフォームを悪用しました。2025年6月に韓国を標的としたスピアフィッシングキャンペーンでは、プライベートなGitHubリポジトリがマルウェアや盗まれたデータを保存するために使用されました。マルウェアを配信し、DropboxやGitHubを介してファイルを抽出することで、グループは正当なネットワークトラフィック内でその活動を隠すことができました。#NorthKoreaHackers , #サイバー攻撃 , #CyberSecurity , #フィッシング詐欺 , #世界ニュース 一歩先を行こう – 私たちのプロフィールをフォローして、暗号通貨の世界の重要なことについて常に情報を得よう!お知らせ:,,この記事に掲載された情報と見解は、教育目的のみに意図されており、いかなる状況においても投資アドバイスとして受け取るべきではありません。これらのページの内容は、金融、投資、またはその他の形態のアドバイスと見なされるべきではありません。暗号通貨への投資はリスクが伴う可能性があり、財務的損失を招く可能性があることに注意してください。“
北朝鮮のキムスキー、巨大なデータ漏洩によって暴露される
2025年6月、サイバーセキュリティコミュニティは揺れ動いた。悪名高い北朝鮮のハッキンググループKimsuky APTのメンバーが大規模なデータ流出の犠牲となり、数百ギガバイトの機密内部ファイル、ツール、運用詳細が明らかになった。 Slow Mistのセキュリティ専門家によると、漏洩したデータにはブラウザ履歴、詳細なフィッシングキャンペーンのログ、TomCatカーネルバックドアや修正されたCobalt Strikeビーコン、Ivanti RootRotエクスプロイト、ToyboxのようなAndroidマルウェアのカスタムバックドアと攻撃システムのマニュアルが含まれていました。
二つの侵害されたシステムとハッカー「KIM」 この侵害は「KIM」として知られる個人が運営する2つの侵害されたシステムに関連しており、一つはLinux開発者用ワークステーション(Deepin 20.9)、もう一つは公開アクセス可能なVPSサーバーでした。
Linuxシステムはマルウェア開発に使用された可能性が高く、VPSはフィッシング資料、偽のログインポータル、およびコマンド・アンド・コントロール(C2)インフラをホストしていました。 この漏洩は「Saber」と「cyb0rg」と名乗るハッカーによって行われ、彼らは両システムの内容を盗み公開したと主張しています。「KIM」に関するいくつかの証拠は、既知のKimsukyインフラストラクチャに関連付けられていますが、言語的および技術的な指標は、中国との可能性のある関係も示唆しており、真の起源は不明のままです。
サイバー諜報の長い歴史 Kimsukyは少なくとも2012年から活動しており、北朝鮮の主要な情報機関である偵察総局に関連しています。これまで政府、シンクタンク、防衛請負業者、学術界をターゲットにしたサイバー諜報に特化してきました。 2025年、DEEP#DRIVEのようなキャンペーンは、複数段階の攻撃チェーンに依存していました。これらは通常、文書に偽装されたLNKショートカットファイルを含むZIPアーカイブで始まり、開かれるとPowerShellコマンドを実行して、Dropboxのようなクラウドサービスから悪意のあるペイロードをダウンロードしました。偽の文書を使用して正当なものに見せかけました。
高度なテクニックとツール 2025 年春、Kimsuky は ZIP アーカイブ内に隠された VBScript と PowerShell の組み合わせをデプロイしました。 ログキー入力クリップボードデータを盗むブラウザから暗号通貨ウォレットキーを収穫する(Chrome、Edge、Firefox、Naver Whale) 攻撃者は、悪意のあるLNKファイルをVBScriptsと組み合わせてmshta.exeを実行し、DLLベースのマルウェアを直接メモリにロードしました。彼らはカスタムRDP Wrapperモジュールとプロキシマルウェアを使用して、隠れたリモートアクセスを可能にしました。 forceCopyのようなプログラムは、標準的なパスワードアクセスアラートをトリガーすることなく、ブラウザの設定ファイルから認証情報を抽出しました。
信頼できるプラットフォームの悪用 Kimsukyは人気のあるクラウドおよびコードホスティングプラットフォームを悪用しました。2025年6月に韓国を標的としたスピアフィッシングキャンペーンでは、プライベートなGitHubリポジトリがマルウェアや盗まれたデータを保存するために使用されました。
マルウェアを配信し、DropboxやGitHubを介してファイルを抽出することで、グループは正当なネットワークトラフィック内でその活動を隠すことができました。
#NorthKoreaHackers , #サイバー攻撃 , #CyberSecurity , #フィッシング詐欺 , #世界ニュース
一歩先を行こう – 私たちのプロフィールをフォローして、暗号通貨の世界の重要なことについて常に情報を得よう! お知らせ: ,,この記事に掲載された情報と見解は、教育目的のみに意図されており、いかなる状況においても投資アドバイスとして受け取るべきではありません。これらのページの内容は、金融、投資、またはその他の形態のアドバイスと見なされるべきではありません。暗号通貨への投資はリスクが伴う可能性があり、財務的損失を招く可能性があることに注意してください。“