サイバーニュース.jp

世界のサイバーなニュースを配信

DPRKサイバー脅威の新動向:LinkedInでの偽装と高度化する攻撃手法

カテゴリ:

LinkedInを悪用したDPRKの偽装活動

北朝鮮(DPRK)に関連するITワーカーは、偽装したLinkedInアカウントを利用してリモート職に応募し、その不正な手口をエスカレートさせています。Security Alliance(SEAL)によると、これらのプロファイルは検証済みの職場メールや身分証明書を持っていることが多く、詐欺的な応募が正当に見えるように企図されています。

このITワーカーを装う脅威は、北朝鮮の工作員が盗まれた、あるいは偽造された身元で欧米企業などに職を得ようとする長年の活動です。その最終目的は二重構造になっており、国の兵器プログラムに資金を供給するための安定した収益源の確保と、機密データの窃取によるスパイ活動、そして場合によっては情報漏洩を盾にした身代金の要求にまで及びます。

Silent Pushは、DPRKのリモートワーカープログラムを政権にとっての「高収益エンジン」と表現しており、脅威アクターは機密性の高いコードベースへの管理アクセスを獲得し、企業インフラ内で継続的な足がかりを確立することも可能にしています。Chainalysisの報告によると、DPRKのITワーカーは、チェーンホッピングやトークンスワッピングといった様々なマネーロンダリング技術を通じて、暗号通貨を送金しています。

「Contagious Interview」キャンペーンの脅威

ITワーカー詐欺と並行して、「Contagious Interview」と名付けられた別のソーシャルエンジニアリングキャンペーンも展開されています。これは、LinkedInで求人情報を提供してターゲットに接触し、偽の採用プロセスで面接へと誘導するものです。攻撃の悪意あるフェーズは、採用担当者や人事担当者を装う人物が、スキル評価の完了を指示し、最終的に悪意のあるコードの実行につながることで始まります。

ある事例では、デジタル資産インフラ企業Fireblocksに似せた採用プロセスで技術者をターゲットにしたキャンペーンにおいて、候補者はGitHubリポジトリをクローンし、npmパッケージをインストールするコマンドを実行するよう求められ、マルウェアが実行されました。このキャンペーンでは、ブロックチェーンのスマートコントラクトを利用してC2インフラをホストするEtherHidingという新技術も使用され、悪意あるペイロードのテイクダウンに対する耐性を高めています。

最近では、悪意のあるMicrosoft VS Codeタスクファイルを使用して、Webフォントを装ったJavaScriptマルウェアを実行し、最終的にBeaverTailやInvisibleFerretといったマルウェアを展開させる新しい変種が観測されています。

Koalemos RATキャンペーンの詳細

Pantherが文書化した別の侵入セットの変種では、悪意のあるnpmパッケージを利用して、Koalemos RAT(Remote Access Trojan)と呼ばれるモジュラーJavaScript RATフレームワークが展開されたと疑われています。このRATは、外部サーバーからタスクを取得し、実行し、暗号化された応答を送信した後、ランダムな時間間隔でスリープするというビーコンループに入るように設計されています。ファイルシステム操作、ファイル転送、探索指示(例: whoami)、任意のコード実行など、12種類のコマンドをサポートしています。

この活動に関連するパッケージの一部は以下の通りです:

  • env-workflow-test
  • sra-test-test
  • sra-testing-test
  • vg-medallia-digital
  • vg-ccc-client
  • vg-dev-env

初期ローダーは、RATモジュールを分離されたプロセスとしてダウンロードし、起動する前にDNSベースの実行ゲートとエンゲージメント日付検証を実行します。Koalemosはシステムフィンガープリントを実行し、暗号化されたC2通信を確立し、完全なリモートアクセス機能を提供します。

Labyrinth Chollimaの組織再編

CrowdStrikeの報告によると、有名な北朝鮮のハッキンググループであるLabyrinth Chollimaは、現在、異なる目的と手口を持つ3つの独立したクラスターに進化しています。これらはLabyrinth Chollima(コアグループ)、Golden Chollima(別名AppleJeus、Citrine Sleet、UNC4736)、Pressure Chollima(別名Jade Sleet、TraderTraitor、UNC4899)です。これらはLazarus Group(別名Diamond Sleet、Hidden Cobra)内のサブクラスターであり、BlueNoroffはTraderTraitorとCryptoCore(別名Sapphire Sleet)に分裂したとされています。

Golden Chollimaは、経済的に発展した地域での小規模な暗号通貨盗難に注力していますが、Pressure Chollimaは、高度なインプラントを使用して高額な強盗を追求し、多額のデジタル資産を保有する組織を標的にしています。一方、Labyrinth Chollimaの活動はサイバースパイ活動を動機としており、FudModuleルートキットなどのツールを使用してステルス性を実現しています。これらのユニットは、共有されたインフラ要素やツールの相互活用から、DPRKのサイバー機構内での中央集権的な調整と資源配分が維持されていることが示唆されています。

元記事: https://thehackernews.com/2026/02/dprk-operatives-impersonate.html

投稿をさらに読み込む