konni

安全研究者は、北朝鮮のハッカーグループKONNIが新しい攻撃手法を開発し、初めてGoogleのFind Hub資産追跡機能を利用してAndroidデバイスに対してリモートデータ消去攻撃を実施したことを発見しました。攻撃者は、心理カウンセラーや人権活動家に偽装し、韓国のKakaoTalk通信プラットフォームで「ストレス解消プログラム」と呼ばれるマルウェアを配布しました。被害者がこれらのファイルを実行すると、攻撃者はGoogleアカウントの資格情報を盗み、Find Hub機能を利用してデバイスの位置を追跡し、リモートリセットを実行し、個人データが削除される結果となります。今回の攻撃はKONNI APT活動の後続行動として確認されており、この組織は北朝鮮政府が支援するKimsukyやAPT 37と密接に関連しています。セキュリティ専門家は、ユーザーにアカウントのセキュリティを強化し、二要素認証を有効にし、インスタントメッセージングツールを通じて受信したファイルに注意を払うように勧めています。

ChainCatcher のメッセージによると、Slow Mist の最高情報セキュリティ責任者 23pds は X プラットフォーム上で、創宇の脅威インテリジェンスチームからのフィードバックを基に、北朝鮮の APT 組織 Konni が WinRAR の脆弱性（CVE-2023-38831）を利用してデジタル通貨業界を初めて攻撃したと述べています。北朝鮮の APT 組織 Lazarus はすでにデジタル通貨業界を攻撃対象としており、主に暗号通貨/金融関連業界を狙った攻撃を行っています。しかし、今回の攻撃活動では、Lazarus 組織以外にも北朝鮮の他の組織が暗号通貨業界に対して攻撃活動を行っていることが初めて確認されました。今回の攻撃活動では、Konni が最近 Group-IB によって公開された WinRAR の脆弱性（CVE-2023-38831）を使用しており、APT 組織がこの脆弱性を利用して攻撃を行ったのは初めてのことです。最近、Stake が攻撃を受け、coinex なども攻撃を受けたことから、北朝鮮のハッカーが大規模に暗号通貨取引プラットフォームを攻撃していることが十分に示されています。ユーザーは警戒を強める必要があります。