はじめに：北朝鮮ラザルスグループの新たな脅威

北朝鮮のサイバー犯罪組織ラザルスグループの採用戦略と運用手法が、BCA LTDのMauro Eldritch氏、ANYRUN、NorthScanによる画期的な共同調査によって、前例のない詳細さで明らかになりました。研究チームは、攻撃者が侵害されたシステムで活動し、欧米の標的に対するサイバー作戦を準備する様子をリアルタイムで記録することに成功しました。

採用詐欺の手口

この調査は、「Blaze」と名乗るリクルーターが、ラザルスグループの典型的なソーシャルエンジニアリングの手口を用いて、研究者に接触したことから始まりました。この脅威アクターは、「仕事をするため」のラップトップへのアクセスと引き換えに、給与の35%を提示しました。これは、侵害された企業システムへのアクセスを得るための婉曲表現でした。

巧妙なハニーポット戦略

研究チームはこの提案を拒否する代わりに、高度なハニーポット（おとり）戦略を展開しました。彼らは、正当な仕事用コンピューターを模倣するように綿密に設計されたANYRUNサンドボックス環境を準備。これらの環境は、攻撃者が本物の標的だと信じ込ませつつ、すべての攻撃者の活動を記録しました。この戦略は、攻撃者が高度な運用セキュリティ意識を持っているにもかかわらず、標的への信頼を維持したため、作戦全体を通して非常に効果的でした。

チョルリマ攻撃サイクルを完全捕捉

数ヶ月にわたり、ラザルスグループの偽の採用パイプラインに潜入した研究者たちは、同グループのマルチステージサイバー諜報活動およびネットワーク侵入作戦である「チョルリマ攻撃サイクル」の全容を記録しました。これは、ラザルスグループのオペレーターが実際の攻撃準備活動を行っている様子が記録された初の事例となります。

運用セキュリティの実態と標的

記録された映像には、攻撃者が使用するツール、運用の戦術、具体的な標的パターンが映し出されていました。攻撃者は、標準的な回避技術や一般的なハニーポットの指標に対する認識を示していましたが、サンドボックス環境は長期間にわたり彼らの信頼を維持し、完全なワークフローの観察を可能にしました。

進化するラザルスグループの手法：インサイダーの活用

CyberSecurityNewsによると、ラザルスグループが採用したインサイダーに依存するようになったことは、攻撃手法の重大な進化を示しています。同グループは、純粋なリモート操作だけでなく、不正なネットワークアクセスを促進するために、正規の雇用ポジションやパートナーシップを積極的に求めています。この戦術は、従来の境界防御の前提を根本的に覆し、外部の脅威と内部の脅威の境界線が曖昧になっていることを示しています。

この採用アプローチは、北朝鮮の作戦が、これまで文書化されてきたゼロデイエクスプロイトやサプライチェーン攻撃への焦点を超えて拡大していることを示唆しています。同グループは、侵害されたインサイダーが持続的なネットワークプレゼンスと信頼できる認証情報を提供することを認識し、初期アクセスベクターを多様化しています。

防御側への提言

セキュリティ研究者や企業防御側は、見慣れない技術職からの求人や採用活動には特に警戒が必要であり、検証を徹底すべきです。今回の調査は、脅威アクターが正規の雇用プロセスを攻撃ベクトルとして組織的に利用し、セキュリティ意識の高い組織を彼ら自身の採用パイプラインを通じて標的にしていることを浮き彫りにしています。

この共同研究は、ラザルスグループのインフラと進化する運用能力を理解する上で重要な貢献をしています。調査から得られた技術的指標は近日中に公開される予定で、防御側に検出および防止戦略のための実用的なインテリジェンスが提供されるでしょう。

---

元記事: https://gbhackers.com/researchers-catch-lazarus-groups-recruitment-workflow-on-camera-via-honeypot/