サイバーニュース.jp

世界のサイバーなニュースを配信

北朝鮮のITワーカーが企業攻撃に加担:新たなハイブリッド脅威の出現

カテゴリ:

, , , , , , , , ,

北朝鮮のITワーカーが企業攻撃に加担:新たなハイブリッド脅威の出現

北朝鮮と連携するマルウェア運用者が、隠密なITワーカーと連携し、世界中の企業組織を標的とする洗練されたパートナーシップを構築していることが明らかになりました。Virus Bulletin 2025で発表された新しいホワイトペーパーで詳細が明らかにされたこの協力関係は、DeceptiveDevelopmentサイバー犯罪シンジケートとWageMole活動クラスターの相互に関連する活動に光を当てています。これは、サイバー窃盗ツールと詐欺的な雇用スキームを組み合わせたハイブリッドな脅威を示しています。

DeceptiveDevelopmentサイバー犯罪シンジケートの活動

少なくとも2023年から活動しているDeceptiveDevelopmentは、ソーシャルエンジニアリングを通じて金銭的利益を得ることに焦点を当てています。彼らの運用者は、LinkedIn、Upwork、Freelancerなどのプラットフォームで採用担当者を装い、偽の求人やコーディング課題でソフトウェア開発者を誘惑します。被害者は、プライベートなGitHubまたはBitbucketリポジトリからトロイの木馬化されたコードをダウンロードし、BeaverTailというインフォスティーラーが起動します。これは、仮想通貨ウォレット、ブラウザの認証情報、キーチェーンデータを窃取します。

BeaverTailの亜種には、JavaScriptベースの進化形であるOtterCookieや、リモート制御、キーロギング、クリップボード窃取機能を提供するPythonベースのモジュラーRATであるInvisibleFerretも含まれます。2024年半ばには、DeceptiveDevelopmentはGoとPythonで書かれたマルチプラットフォームのインフォスティーラーであるWeaselStoreを導入しました。これはソースコードとGo環境バイナリとして提供されます。被害者によってビルドおよび実行されると、WeaselStoreは機密データを抽出するだけでなく、コマンド&コントロールサーバーとの永続的な通信を維持します。

2024年後半には、DeceptiveDevelopmentはTsunamiKitを発表しました。これは、TsunamiLoader、TsunamiInjector、TsunamiHardener、TsunamiInstaller、TsunamiClientといったコンポーネントが連携してXMRigおよびNBMinerマイナーをインストールし、検出を回避する複雑な.NETスパイウェアおよび仮想通貨マイニングツールキットです。

TropidoorとLazarusグループとの関連

DeceptiveDevelopmentと北朝鮮国家と連携するAPTとのさらなる関連として、研究者たちはTropidoorを発見しました。これは、LazarusグループのPostNapTeaバックドアと実質的にコードを共有する64ビットWindows DLLダウンローダーです。Tropidoorの洗練されたAPI解決、暗号化ルーチン、コマンド実装は、Lazarusの専門知識の特徴を示しており、サイバー犯罪とスパイ活動に焦点を当てたアクター間のコード再利用と協力が示唆されています。

WageMole活動クラスター:北朝鮮の隠密ITワーカー

これらのマルウェア操作と並行して、WageMoleクラスターと呼ばれる隠密な北朝鮮のITワーカーが企業の採用プロセスに潜入しています。少なくとも2017年以来、制裁対象の個人がリモート従業員を装って外国企業での職を得ており、その給与はDPRK政権の資金源となっています。これらのワーカーは、盗まれた身元、代理面接官、AI生成された合成身元を使用してスクリーニングを回避します。彼らはプロフィール写真を操作し、履歴書を偽造し、ビデオ面接中にリアルタイムの顔交換さえ使用します。一度潜入すると、彼らは恐喝やスパイ活動のために内部データを盗みます。

DeceptiveDevelopmentとWageMoleの連携

OSINT調査により、DeceptiveDevelopmentとWageMoleの間には取引上のつながりがあることが明らかになっています。偽の採用担当者プロフィールとITワーカーのペルソナは、頻繁に電子メールアカウント、相互フォロー、コードリポジトリを共有しています。公開されたGitHubデータと被害者の証言は、ITワーカーのスケジュール、クライアントとのコミュニケーション、作業ノルマを詳細に示しており、独立した研究者やソーシャルメディアの探偵によって漏洩することもあります。これらの資料は、中国、ロシア、東南アジアを拠点とするチームが、ブロックチェーン、ウェブ開発、AI統合のリモートタスクに毎日最大16時間を費やしていることを示しています。

このソーシャルエンジニアリング主導のマルウェアと雇用詐欺スキームの融合は、ハイブリッドな脅威を構成します。DeceptiveDevelopmentの大量かつ低洗練度のツールセットは、人間が操作するITワーカーキャンペーンによって増幅され、サイバー犯罪とスパイ活動の境界線を曖昧にしています。代理面接は新たなリスクをもたらします。知らず知らずのうちに侵害された候補者を採用した組織は、アクセス権限と悪意のある意図を組み合わせた内部脅威に直面する可能性があります。

防御策と推奨事項

防御側は、採用審査を脅威モデルに統合することで、この進化する状況に適応する必要があります。セキュリティチームは以下のことを行うべきです:

  • 多要素認証と生体認証チェックを通じて候補者の身元を検証する。
  • 採用プラットフォームで偽のアカウントや異常な活動を監視する。
  • ジョブアサインメントの成果物について徹底的なコードレビューを実施する。
  • インフォスティーラーやRATの挙動を検出するために堅牢なエンドポイント監視を実装する。

DeceptiveDevelopmentとWageMoleの協力は、より広範なエコシステム認識の必要性を強調しています。境界セキュリティに焦点を当てた従来の防御策では、人間のワークフローと詐欺的な雇用を悪用する脅威に完全に対処することはできません。技術的制御、脅威インテリジェンスの共有、HRとの連携を組み合わせた包括的なアプローチが、この新たなハイブリッドな脅威を阻止するために不可欠です。

IoC(侵害指標)

  • E34A43ACEF5AF1E5197D940B94FC37BC4EFF0B2A nvidiadrivers.zip: WinGo/DeceptiveDevelopment.F (WeaselStoreを含むトロイの木馬化されたプロジェクト)
  • 3405469811BAE511E62CB0A4062AADB523CAD263 VCam1.update: WinGo/DeceptiveDevelopment.F (WeaselStoreを含むトロイの木馬化されたプロジェクト)
  • C0BAA450C5F3B6AACDE2807642222F6D22D5B4BB VCam2.update: WinGo/DeceptiveDevelopment.F (WeaselStoreを含むトロイの木馬化されたプロジェクト)
  • DAFB44DA364926BDAFC72D72DBD9DD728067EFBD nvidia.js: JS/Spy.DeceptiveDevelopment.Q (Windows用WeaselStoreダウンローダー)
  • 015583535D2C8AB710D1232AA8A72136485DB4EC ffmpeg.sh: OSX/DeceptiveDevelopment.B (OSX/Linux用WeaselStoreダウンローダー)
  • CDA0F15C9430B6E0FF1ACDA4D44DA065D547AF1C DriverMinUpdate: OSX/DeceptiveDevelopment.B (macOSでユーザーのログインを要求する偽のプロンプト)
  • 214F0B10E9474F0F5D320158FB71995AF852B216 nvidiaupdate.exe: WinGo/DeceptiveDevelopment.B (Windows用コンパイル済みWeaselStoreバイナリ)
  • 4499C80DDA6DBB492F8667D11D3FFBFEEC7A3926 bow: Python/DeceptiveDevelopment.C (InvisibleFerret)
  • B20BFBAB8BA732D428AFBA7A688E6367232B9430 N/A: Python/DeceptiveDevelopment.C (InvisibleFerretのブラウザデータ窃取モジュール)
  • C6888FB1DE8423D9AEF9DDEA6B1C96C939A06CF5 Windows Update Script.pyw: Python/TsunamiKit.A (TsunamiInjector)
  • 4AAF0473599D7E3A503841ED10281FDC186633D2 Runtime Broker.exe: MSIL/DeceptiveDevelopment.A (TsunamiInstaller)
  • 251CF5F4A8E73F8C5F91071BB043B4AA7F29D519 Tsunami Payload.exe: MSIL/DeceptiveDevelopment.A (TsunamiClientInstaller)
  • D469D1BAA3417080DED74CCB9CFB5324BDB88209 Tsunami Payload.dll: MSIL/DeceptiveDevelopment.A (TsunamiClient)
  • 0C0F8152F3462B662318566CDD2F62D8E350A15E Runtime Broker.exe: Win64/Riskware.Tor.A (Torプロキシ)
  • F42CC34C1CFAA826B96291E9AF81F1A67620E631 autopart.zip: Win64/DeceptiveDevelopment.CJS/Spy.DeceptiveDevelopment.A (BeaverTailとTropidoorダウンローダーを含むトロイの木馬化されたプロジェクト)
  • 02A2CD54948BC0E2F696DE412266DD59D150D8C5 hoodygang.zip: Win64/DDeceptiveDevelopment.CJS/Spy.DeceptiveDevelopment.A (BeaverTailとTropidoorダウンローダーを含むトロイの木馬化されたプロジェクト)
  • 6E787E129215AC153F3A4C05A3B5198586D32C9A tailwind.config.js: JS/Spy.DeceptiveDevelopment.A (BeaverTailを含むトロイの木馬化されたJavaScript)
  • FE786EAC26B61743560A39BFB905E6FB3BB3DA17 tailwind.config.js: JS/Spy.DeceptiveDevelopment.A (BeaverTailを含むトロイの木馬化されたJavaScript)
  • 86784A31A2709932FF10FDC40818B655C68C7215 img_layer_generate.dll: Win64/DeceptiveDevelopment.C (Tropidoor RATのダウンローダー)
  • 90378EBD8DB757100A833EB8D00CCE13F6C68E64 N/A: Win64/DeceptiveDevelopment.D (Tropidoor RAT)
  • C86EEDF02B73ADCE08164F5C871E643E6A32056B drivfixer.sh: OSX/DeceptiveDevelopment.C (トロイの木馬化されたmacOSインストーラーとNode.jsランチャー)
  • 4E4D31C559CA16F8B7D49B467AA5D057897AB121 ClickFix-1.bat: PowerShell/DeceptiveDevelopment.B (Windowsでの初期段階:悪意のあるnvidiaRelease.zipアーカイブをダウンロードするBAT)
  • A9C94486161C07AE6935F62CFCC285CD342CDB35 driv.zip: JS/Spy.DeceptiveDevelopment.AOSX/DeceptiveDevelopment.C (BeaverTailを含むZIPアーカイブ)
  • F01932343D7F13FF10949BC0EA27C6516F901325 nvidiaRelease.zip: JS/Spy.DeceptiveDevelopment.AWin32/DeceptiveDevelopment.AVBS/DeceptiveDevelopment.BBAT/DeceptiveDevelopment.A (BeaverTailとAkdoorTeaを含むZIPアーカイブ)
  • BD63D5B0E4F2C72CCFBF318AF291F7E578FB0D90 mac-v-j1722.fixer: OSX/DeceptiveDevelopment.D (macOSでの初期段階:悪意のあるdriv.zipアーカイブをダウンロードするbashスクリプト)
  • 10C967386460027E7492B6138502AB61CA828E37 main.js: JS/Spy.DeceptiveDevelopment.A (Node.jsによって自動的にロードされる難読化されたBeaverTailスクリプト)
  • 59BA52C644370B4D627F0B84C48BDA73D97F1610 run.vbs: VBS/DeceptiveDevelopment.B (AkdoorTeaとshell.batを実行するVBScript)
  • 792AFE735D6D356FD30D2E7D0A693E3906DECCA7 drvUpdate.exe: Win32/DeceptiveDevelopment.A (AkdoorTea、TCP RAT)

元記事: https://gbhackers.com/north-korean-it-workers-corporate-attacks/

投稿をさらに読み込む