ハクソク

世界を動かす技術を、日本語で。

「キム」ダンプが北朝鮮の認証情報窃盗手法を暴露した方法

261日前原文(dti.domaintools.com)

概要

  • 本記事は、 Kimsuky(APT43) に関する大規模な情報漏洩「Kimダンプ」に基づく詳細な技術分析。
  • 北朝鮮と 中国インフラ を活用したハイブリッド型APT活動の実態を解説。
  • 主な標的は 韓国政府のGPKI と台湾の開発・行政インフラ。
  • 認証情報窃取・フィッシング・ルートキット 展開など多層的な攻撃手法を網羅。
  • 防御推奨策・MITREマッピング・IOCsも掲載し、実務的な対策指針を提示。

Kimsuky “Kim”ダンプ:北朝鮮の認証情報窃取プレイブックの全貌

技術分析サマリー

  • 漏洩データには bash履歴・フィッシングドメイン・OCR処理・ルートキット証拠 など多様なオペレーション痕跡を収録。
  • NASM利用によるシェルコード開発、反復的なコンパイル・クリーンアップの手動操作履歴を確認。
  • 韓国PKI/VPN仕様PDFのOCR解析 で、技術仕様や設定情報の抽出・模倣を企図。
  • PAMログ には「変更完了(변경완료)」付きのパスワード変更・管理者アカウント利用が記録。
  • フィッシングインフラ はnid-security[.]com等、韓国政府機関を模倣したAiTM型ドメインを多数運用。
  • 台湾政府・研究機関へのアクセス痕跡 (特定IP/.gitリポジトリクロール)も存在。
  • Linuxルートキット(khook方式) によるシステム深部への持続的潜伏とコマンド&コントロールを実装。

認証情報窃取の焦点

  • GPKI証明書(.keyファイル)・平文パスワード の漏洩で、韓国政府認証基盤の実効的ななりすましを実現。
  • 管理者アカウント(oracle, svradmin, app_adm01等) のパスワードローテーションを反復し、特権アクセスを維持。

フィッシングインフラの特徴

  • nid-security[.]com, webcloud-notice[.]com など、韓国のID/文書配信サービスを模倣したドメインを展開。
  • AiTM用TLSプロキシ を活用し、リアルタイムで認証情報を窃取。
  • バーナーメール(例: jeder97271[@]wuzak[.]com) の利用で、運用上の匿名性を確保。

マルウェア開発活動

  • NASM -f win32 による手動シェルコードコンパイル、APIハッシュ化による検知回避。
  • TitanLdr, minbeacon, Blacklotus, CobaltStrike-Auto-Keystore など、GitHub公開ツールのハイブリッド活用。
  • proxyresライブラリ でWindowsプロキシ設定抽出、ネットワーク制御の突破を狙う。

ルートキット構造の詳細

  • vmmisc.ko/VMmisc.ko カーネルモードルートキット、x86_64 Linux複数ディストリ対応。
  • システムコールフック・SOCKS5プロキシ・PTYリバースシェル・暗号化セッション 等の高度機能を搭載。
  • /usr/lib64/tracker-fs/ 等、正規サービスを装ったパスで設置し、FIM検知を回避。

OCR活用による技術仕様収集

  • ocrmypdf -l kor+eng コマンドで韓国PKI/電子署名仕様書PDFから技術要件を抽出。
  • バイリンガルOCR で多言語ドキュメントにも対応、模倣・クローン化を志向。

SSH・ログ解析による証拠

  • 23.95.213[.]210(VPS)、218.92.0[.]210(中国ISP)、122.114.233[.]77(河南Mobile) 等からのブルートフォース試行を検出。
  • gva.gpki.go[.]kr, ivs.gpki.go[.]kr への認証試行・OCSPエラー記録。
  • 最高管理者(최고 관리자) でのrootログイン成功履歴、実際の特権奪取を裏付け。

標的と目的分析

韓国への攻撃目的

  • GPKI証明書ファイル(.key/.crt)窃取・認証試行 で国家レベルのID基盤侵害。
  • PKI/VPN設計書のOCR解析 による仕様把握・サブバージョン狙い。
  • 軍・外交メール(mofa.go[.]kr等)を模倣したフィッシング で認証情報収集。
  • 管理者アカウントのパスワード変更・維持 で長期的な持続的侵入を指向。
  • カスタムLinuxルートキット でシステム深部に潜伏、検知回避と持続的C2確立。

台湾へのリコン活動

  • tw.systexcloud[.]com, mlogin.mdfapps[.]com, caa.org[.]tw/.git/ 等、エンタープライズ/研究系ポータルへのアクセス。
  • .gitリポジトリクロール でハードコード秘密情報・APIキー・デプロイスクリプトの発見を狙う。
  • 台湾の学術/研究IP(163.29.3[.]119等) を標的とした、サプライチェーン型侵入の下地形成。

ハイブリッドアトリビューションモデル

  • 韓国語環境・GPKI特化・OCRルーチン から北朝鮮(DPRK)起源を強く示唆。
  • gitee[.]com, baidu[.]com, zhihu[.]com 等、中国サービス利用・簡体字コンテンツから中国内活動の可能性。
  • 台湾ターゲティング・中国APTツールとの重複 も見られるが、全体としては「中国拠点のDPRKオペレーター」説が有力。

IMINT分析:文化的カモフラージュ

  • 中国ネット文化(Weibo, Zhihu, Honor等) を模した画像・投稿履歴で、現地ユーザーに偽装。
  • PRCユーザー行動と一致するブラウジング・デバイス利用 で行動検知やアトリビューション回避。
  • 技術資料・ミーム・皮肉的表現 も多用、ターゲットへの社会工学的信頼醸成にも活用。

アトリビューションシナリオ

  • Option A: DPRKオペレーターが中国に埋め込まれて活動(最有力)。
  • Option B: PRCオペレーターがDPRKを模倣(可能性は低~中)。
  • 結論: DPRK主体・中国インフラ活用のハイブリッドAPT、台湾など地域的ターゲット拡大傾向。

標的プロファイル

  • 韓国: PKI管理者・インフラエンジニア
    • OCRでID標準技術を抽出、信頼システムの模倣・侵害を狙う。
  • 台湾: 開発者・クラウドアクセス管理者
    • .git/リポジトリ・クラウドパネル 経由で開発・認証情報への横断的アクセスを指向。

脅威インテリジェンス報告

TLP WHITE: 標的サマリー

  • 地域: 韓国、台湾
  • 標的: 政府、通信、エンタープライズIT
  • アカウント: svradmin, oracle, app_adm01, unwadm, shkim88, jaejung91
  • ドメイン: tw.systexcloud[.]com, nid-security[.]com, spo.go[.]kr, caa.org[.]tw/.git/

IoC(侵害指標)

  • フィッシング: nid-security[.]com, html-load[.]com, wuzak[.]com, koala-app[.]com, webcloud-notice[.]com
  • 偽装ポータル: dcc.mil[.]kr, spo.go[.]kr, mofa.go[.]kr
  • 外部標的IP(台湾): 163.29.3[.]119, 118.163.30[.]45, 59.125.159[.]81
  • ブルートフォース/インフラ起源IP: 23.95.213[.]210, 218.92.0[.]210, 122.114.233[.]77
  • 内部ホストIP: 192.168.130[.]117, 192.168.150[.]117, 192.168.0[.]39

MITRE ATT&CKマッピング

  • 初期アクセス: T1566.002(AiTM型フィッシング)
  • 実行: T1059.005(ネイティブAPIシェルコード)、T1059.003(Bash/Shellスクリプト)
  • 認証情報アクセス: T1555(Credential Store Dumping)、T1557.003(Session Hijacking)
  • 持続化: T1176(Rootkit/khook)
  • 防御回避: T1562.001(セキュリティツール無効化)、T1552(認証情報ファイル)
  • 探索: T1592(技術情報探索)、T1590(ネットワーク情報)
  • 持ち出し: T1041(C2経由持ち出し)、T1567.002(クラウド経由持ち出し)

ツール・能力

  • NASMシェルコードローダー :Windows向け手動コンパイル
  • Win32 APIハッシュ化 :hashstring.pyでインポート難読化
  • GitHub/Gitee悪用 :公開開発プラットフォームからツール取得
  • OCR活用 :ocrymypdfでPKI/VPN仕様PDF解析
  • ルートキット展開 :/usr/lib64/tracker-fs等の隠蔽パス採用
  • プロキシ設定抽出 :proxyresベースのネットワーク偵察

アトリビューション評価

  • DPRK(Kimsuky)主体: 高信頼度(韓国語、GPKI、OCR挙動)
  • 中国インフラ融合: 中程度(PRCホスティング、Gitee利用、台湾標的)
  • 純粋なPRCアクター: 低~中(ツール重複のみ)

防御推奨策

  • PKIセキュリティ: .key/.sig/.crt利用監視、HSMや2FA強制
  • フィッシング対策: IoCドメインブロック、TLSフィンガープリント/リファラ検証
  • エンドポイント強化: nasm/make/OCRツール利用検知、/usr/lib*/tracker-*監視
  • ネットワーク監視: .git/ディレクトリアクセス検知、Pastebin/GitHub宛通信監視
  • 台湾対策: PRC発IPから.twドメインアクセスのウォッチリスト化
  • 管理者アカウント: svradmin, oracle, app_adm01等の利用ログ精査とローテーション徹底

補遺:中朝APT間のオペレーション混同

  • 台湾標的時にKimsukyと中国APTのTTP重複 が観測され、アトリビューション混乱の要因に。
  • DDoS Secrets等のリークで、Kimsukyが中国APTとツール共有・協力 している可能性が示唆。
  • 現時点では大部分が別系統だが、「Kim」事例のような混成オペレーションも増加傾向。

まとめ

  • KimダンプはKimsuky/北朝鮮APTの高度な認証情報窃取・インフラ侵害戦術を

Hackerたちの意見

ダンプは、攻撃的なツールで知られるGitHubリポジトリへの依存が明らかになった。TitanLdr、minbeacon、Blacklotus、CobaltStrike-Auto-Keystoreがコマンドログにクローンまたは参照されていた。攻撃的なツールの開発をGitHubで許可する理由は何なの?これは言論の自由の問題なのか、それともこれらのリポジトリは何らかの形で科学研究に関連しているの?

これらはペネトレーションテストやレッドチームの活動でよく使われてる。こういうツールを一般から禁止すると、攻撃者の手法が防御者にとって謎になってしまうだけで、真剣な悪意のある行為者には全く影響しない。90年代や2000年代初頭にその話をしたことがあるよね。

セキュリティ研究者や、定期的にペネトレーションテストを行う人たちがよく使ってると思うよ。

じゃあ、どんな代替案を提案するの?

GitHubはイランや北朝鮮のような制裁対象国をブロックすることになってるんじゃなかったっけ? https://docs.github.com/en/site-policy/other-site-policies/g...

これは北朝鮮と中国の関係に関して興味深いね。二者の間にどれくらいの調整があるのかは言いづらいけど、何かしらの関係はあるみたい。驚くべきことではないけど、この公の帰属が中国が北朝鮮の動きや自国の関与を否定するのを難しくするのかな。

中国が北朝鮮を支持していることは、アメリカが韓国を支持していることと同じくらい秘密じゃないと思う。そして、中国の裏庭だから、もっと言い訳があるよね。それが重要じゃないと思うなら、モンロー主義を見てみて。[1] さらに言えば、いわゆるキューバ危機は本当にトルコミサイル危機と呼ばれるべきだ。アメリカは(NATOを通じて)トルコにジュピターミサイルを配備したけど、モスクワから数百マイルしか離れてなかった。ソ連はキューバに核兵器を配備することで同じことをした。そしてアメリカはそれを理由に第三次世界大戦を始めかけた。結局、ソ連が一歩引いた結果、秘密の合意によってジュピターミサイルは静かにトルコから撤去されたんだ。[1]: https://en.wikipedia.org/wiki/Monroe_Doctrine [2]: https://www.wilsoncenter.org/blog-post/jupiter-missiles-and-...

北京が平壌の行動にどれだけ不満を持っていても、北朝鮮は中国にとって明らかに戦略的に重要な存在だから、政権への支持が揺らぐことはないだろうし、隠そうとすることもないだろうね。

ここには中華人民共和国がこのハッキング活動への関与を否定するのを妨げるような決定的な証拠は見当たらないね。

これは技術的な観点から興味深いね。このインフラの一部はペンテスターたちによって使われていて、攻撃的な武器なんて存在しないことを示してる。なぜそれが重要なのか考えてみてほしい。残念ながら、すぐに北朝鮮や中国がどれだけ悪いかという話になって、また中国が北朝鮮を支援するべきじゃない(だって、彼らは悪いから)っていう議論になるんだ。これを暴露するために二言を挙げるよ:Stuxnet、Pegasus。

この漏洩に関与しているハッカーたちだと思う: https://phrack.org/issues/72/7_md#article

これはAPTのワークフローについてかなり詳細な分析だね。非APTのアクターたちも、もし自分たちの悪事を洗練させたいなら、こういったワークフローを真似するかもしれないね。

オープンにすることで模倣者が出てくるリスクは常にあるけど、悪意のある行動に対抗するために必要な情報を持った人たちが、より良い判断を下せるようになるってことも事実だよね。情報を一つのグループだけに渡して、他のグループに渡らないっていうのは無理だから。

北朝鮮では普通の人がコンピュータを学んだり持ったりするのが難しいって聞いたことがある。少数のエリートオペレーターが選ばれて訓練されていると考えられていて、最新の技術を持ってハッキングをするのはちょっと驚きだね。

もし何かあるとすれば、北朝鮮のハッカーは世界レベルかもしれないね。政府が学生を早い段階から専門的なトレーニングプログラムに入れているなら、そうなるだろうし。西側諸国には同じようなものがないから、学校教育が一般的で、学部や大学院では実際にハッカーとしてやる仕事に必要なことを教えてくれないからね。22歳の西側のハッカーが3文字の機関で働く場合、経験としては6ヶ月の関連の薄いインターンシップしかないかもしれないけど、北朝鮮のハッカーはその時点で何年も経験があるだろうね。

北朝鮮のチームはコーディングコンテストで非常に良い成績を収めることが多いから、北朝鮮が少数のエリートコンピュータ人材を育成するのが得意だっていうのは間違いないね。

「キム」オペレーターに帰属する漏洩データセットは、北朝鮮に関連するサイバーオペレーションの独自の運用視点を提供している。NORCのハッカーがなぜ近隣のハックを使わなかったのか、パンくずのような痕跡を平壌まで残してしまったのかは謎だね ;)