サイバーニュース.jp

世界のサイバーなニュースを配信

「Operation DreamJob」がWhatsApp Webを介して製造業を攻撃

カテゴリ:

序論: Operation DreamJobが製造業を標的に

北朝鮮のサイバースパイ活動「Operation DreamJob」が、WhatsApp Webを悪用して製造業組織を標的にしていることが明らかになりました。2025年8月にオレンジ・サイバーディフェンス社がアジアの欧州系大手製造企業子会社への侵入を調査した結果、脅威アクターがソーシャルエンジニアリングと高度なマルウェアを駆使して企業ネットワークに侵入し、永続的なアクセスを維持していたことが判明しました。

WhatsApp Webを利用した巧妙な初期侵入

攻撃の最初の段階は、非常にシンプルでありながら効果的な方法で行われました。プロジェクトエンジニアは、プロジェクトマネージャーの求人を装ったWhatsAppメッセージによって誘い込まれ、悪意のあるZIPアーカイブをダウンロードさせられました。このアーカイブには、不正なPDFファイル、正規のSumatraPDF.exe実行ファイル、そしてトロイの木馬化されたDLL(libmupdf.dll)が含まれていました。この手口は、2016年の出現以来「Operation DreamJob」が多用してきた、身近な採用プロセスにおける人間の心理と信頼を悪用するものです。

多段階にわたる感染チェーンとネットワーク横展開

PDFファイルを開くと、正規のアプリケーションが悪意のあるDLLをサイドローディングし、バックドアが実行されて最初のネットワークアクセスが確立されます。侵入後、脅威アクターは少なくとも6時間にわたり手動による操作(hands-on-keyboard activities)を行いました。彼らは、脆弱なプラグインを持つ侵害されたWordPressサイトをC2(コマンド&コントロール)インフラとして利用し、複数のLDAPクエリを実行してActive Directoryのユーザーおよびコンピューターリストを偵察しました。その後、バックアップアカウントと管理者アカウントを侵害し、パス・ザ・ハッシュ(pass-the-hash)技術を用いて平文パスワードを必要とせずにドメインサーバー間で横方向に移動しました。

進化するマルウェア群: BURNBOOKとMISTPEN

このキャンペーンで展開されたマルウェアは、これまでの「Operation DreamJob」の亜種から進化を遂げています。分析されたlibmupdf.dllファイルは、2024年に文書化されたBURNBOOKサンプルとコードの重複が多く見られましたが、2025年版は企業環境向けに簡素化された機能が実装されています。特に、新しいBURNBOOKはnetapi32.dllとnetutils.dllを動的にロードしてドメイン参加システムを検出する機能を備えており、個々のシステムではなく企業インフラを標的にしていることを示唆しています。

このキャンペーンの脅威レベルをさらに高めているのは、セカンダリペイロードをダウンロード・実行する洗練されたバックドア「MISTPEN」の展開です。MISTPENは正規バイナリにインジェクトされ、SharePointベースのインフラとコマンド&コントロール通信を確立します。この多段階アプローチは、最終的に情報窃取モジュールであるReleasePvPluginx64.dllを展開し、侵害されたシステムから機密データを流出させます。

北朝鮮国家支援型APTグループによる攻撃の帰属

この攻撃は、北朝鮮の国家支援型活動に関連するUNC2970に帰属されており、重要な製造業セクターを標的にする彼らの永続性と資源を示しています。製造業組織は、その知的財産価値、サプライチェーンの重要性、技術開発能力から、依然として魅力的な標的です。このキャンペーンで利用された求人関連の誘い文句は、通常、ネットワーク上で高い権限を持つプロジェクトエンジニア、開発者、システム管理者といった技術専門家を特に狙っています。

組織が講じるべき防御策

組織は、この脅威が従来の電子メールベースのフィッシングに留まらないことを認識する必要があります。WhatsApp Webの利用は配信メカニズムの進化を示しており、企業メールシステムよりも監視が手薄なメッセージングアプリケーションを悪用しています。セキュリティチームは、企業環境でのWhatsApp Desktopの使用を制限するための厳格な制御を実装し、メッセージングアプリケーションに関連する不審な活動パターンを監視すべきです。さらに、DLLサイドローディングの試みをブロックできるアプリケーション制御ソリューションを展開することは、この感染技術に対する重要な保護となります。

特に、一時ディレクトリから作成および実行されるSumatraPDFのような正規実行ファイルからのDLLサイドローディングの兆候に対するプロアクティブな脅威ハンティングは、ラテラルムーブメントが発生する前に侵害の試みを特定できます。今回の調査から得られた侵害指標(IoC)は、脅威インテリジェンス統合に利用可能であり、組織がこの執拗な脅威に対する防御態勢を強化するのに役立ちます。

元記事: https://gbhackers.com/operation-dreamjob-attacks-on-manufacturing-via-whatsapp-web/

投稿をさらに読み込む