朝鮮民主主義人民共和国(DPRK、または北朝鮮)と関係のある脅威アクターが、ClickFixスタイルの誘導を利用して、既知のマルウェア「BeaverTail」および「InvisibleFerret」を配布していることが確認されました。
「この脅威アクターは、ClickFixの誘導を用いて、ソフトウェア開発職ではなく、仮想通貨や小売業界のマーケティングやトレーダー職を標的にしました」と、GitLabの脅威インテリジェンス研究者であるOliver Smith氏は、先週公開したレポートで述べています。
2023年末にPalo Alto Networksによって初めて明らかにされたBeaverTailとInvisibleFerretは、北朝鮮の工作員によって長期にわたるキャンペーン「Contagious Interview」(別名Gwisin Gang)の一環として展開されてきました。このキャンペーンでは、マルウェアが就職テストを装ってソフトウェア開発者に配布されます。このグループは、Lazarusという大規模グループのサブセットと考えられており、少なくとも2022年12月から活動しています。
BeaverTailは、偽のnpmパッケージや、FCCCallやFreeConferenceなどの不正なWindows用ビデオ会議アプリケーションを通じても拡散されてきました。JavaScriptで書かれており、情報窃取型マルウェアおよびPythonベースのバックドア「InvisibleFerret」のダウンローダーとして機能します。
このキャンペーンの重要な進化点は、ClickFixのソーシャルエンジニアリング手法を用いて、GolangGhost、PylangGhost、FlexibleFerretなどのマルウェアを配布することにあります。これはClickFake Interviewとして追跡されているサブクラスターの活動です。
2025年5月下旬に観測された最新の攻撃波は、2つの理由で注目に値します。ClickFixを用いてBeaverTail(GolangGhostやFlexibleFerretではなく)を配布していること、そしてWindows、macOS、Linuxシステム向けにpkgやPyInstallerなどのツールで生成されたコンパイル済みバイナリとして情報窃取マルウェアを配布していることです。
Vercelを利用して作成された偽の採用プラットフォームWebアプリケーションがマルウェアの配布経路となっており、脅威アクターはさまざまなWeb3組織での仮想通貨トレーダー、営業、マーケティング職を宣伝し、ターゲットにWeb3企業への投資を促しています。
「脅威アクターがマーケティング応募者を標的とし、小売業界の組織になりすましている点は、BeaverTail配布者が通常ソフトウェア開発者や仮想通貨業界に注力していることを考えると注目に値します」とSmith氏は述べています。
サイトにアクセスしたユーザーはパブリックIPアドレスを取得され、自分自身のビデオ評価を完了するよう指示されます。その際、実際には存在しないマイクの問題に関する偽の技術的エラーが表示され、問題を解決するためとしてOSごとのコマンドの実行を求められます。これにより、シェルスクリプトやVisual Basic Scriptを介して、より軽量なBeaverTailが展開されます。
「このキャンペーンに関連するBeaverTailの亜種は、簡素化された情報窃取ルーチンを含み、標的とするブラウザ拡張機能も少なくなっています」とGitLabは述べています。「この亜種は、他のBeaverTail亜種が22種類の拡張機能を標的とするのに対し、8種類のみを標的としています。」
もう一つの重要な変更点は、Google Chrome以外のウェブブラウザからデータを窃取する機能が削除されていることです。Windows版BeaverTailでは、InvisibleFerret関連のPython依存ファイルを読み込むため、マルウェアと一緒に配布されるパスワード保護付きアーカイブに依存していることも判明しました。
パスワード保護付きアーカイブは、さまざまな脅威アクターが以前から採用している一般的な手法ですが、BeaverTailに関連してペイロード配布にこの方法が使われたのは初めてであり、脅威アクターが攻撃チェーンを積極的に洗練させていることを示しています。
さらに、二次的なアーティファクトの野生での出現率が低く、ソーシャルエンジニアリングの巧妙さも見られないことから、このキャンペーンは限定的なテストであり、大規模展開の可能性は低いと考えられます。
「このキャンペーンは、北朝鮮のBeaverTailオペレーターのサブグループによる戦術的な若干のシフトを示しており、従来のソフトウェア開発者以外にも、仮想通貨や小売業界のマーケティングやトレーディング職へと標的を拡大しています」とGitLabは述べています。「コンパイル済みマルウェア亜種への移行とClickFix手法の継続的な利用は、標準的なソフトウェア開発ツールがインストールされていない、より技術的でないターゲットやシステムへ到達するための運用適応を示しています。」
この動きは、SentinelOne、SentinelLabs、Validinの共同調査によって、2025年1月から3月の間に、Archblock、Robinhood、eToroなどの企業になりすました偽の仮想通貨求人面接攻撃で、少なくとも230人がContagious Interviewキャンペーンの標的となったことが判明したタイミングでもあります。
このキャンペーンでは、ClickFixテーマを利用して「ContagiousDrop」と呼ばれる悪意あるNode.jsアプリケーションを配布し、アップデートや必須ユーティリティを装ったマルウェアを展開していました。ペイロードは被害者のOSやシステムアーキテクチャに合わせて調整され、被害者の活動をカタログ化し、偽のスキル評価が開始されるとメールアラートを発動する機能も備えています。
「この活動は、脅威アクターが自らのインフラに関連するサイバー脅威インテリジェンス(CTI)情報を調査していたことを示しています」と各社は指摘し、攻撃者が新しいインフラの取得前評価や、Validin、VirusTotal、Maltrailを通じて活動の検知兆候を監視するなど、協調的な取り組みを行っていたと付け加えています。
こうした取り組みから得られた情報は、キャンペーンの耐障害性と効果を高め、サービスプロバイダーによるインフラ削除後も迅速に新たなインフラを展開することを目的としています。これは、既存インフラのセキュリティ強化よりも、運用継続のためにリソースを投資する姿勢を反映しています。
「ターゲットへの継続的なアプローチが成功していることを考えると、脅威アクターにとっては既存資産の維持よりも新たなインフラの展開の方が現実的かつ効率的かもしれません」と研究者らは述べています。「分散型の指揮系統や運用リソースの制約など、内部要因が迅速な協調的変更の実施能力を制限している可能性があります。」
「彼らの運用戦略は、サービスプロバイダーによる削除で失われたインフラを迅速に新しいインフラで置き換え、活動を維持することを優先しているようです。」
北朝鮮のハッカーは、長年にわたり自らの活動を強化するために脅威インテリジェンスを収集しようとしてきました。早くも2021年には、GoogleとMicrosoftが、平壌支援のハッカーが脆弱性研究・開発に従事するセキュリティ研究者を標的に、偽ブログやSNSアカウントを使ってエクスプロイトを盗もうとしていたことを明らかにしました。
その後、昨年にはSentinelOneが、ScarCruft(別名APT37)による、脅威インテリジェンスレポートの消費者を標的とした偽の技術レポートをおとりにRokRAT(北朝鮮脅威グループ専用のカスタムバックドア)を配布するキャンペーンについて警告しました。
しかし、最近のScarCruftのキャンペーンでは、新たな動きが見られ、カスタムVCDランサムウェアによる感染や、CHILLYCHINO(別名Rustonotto)やFadeStealerといった情報窃取・バックドアツールを含むツールキットの進化が確認されています。CHILLYCHINOはRust製インプラントで、2025年6月から脅威アクターの武器庫に加わった新ツールです。APT37がRust製マルウェアでWindowsシステムを標的にしたのはこれが初めてです。
一方、FadeStealerは2023年に初めて確認された監視ツールで、キーストロークの記録、スクリーンショットや音声の取得、デバイスやリムーバブルメディアの追跡、パスワード保護されたRARアーカイブによるデータの持ち出しが可能です。コマンド&コントロール(C2)サーバーとの通信にはHTTP POSTとBase64エンコーディングを利用します。
Zscaler ThreatLabzによれば、この攻撃チェーンは、スピアフィッシングメールでZIPアーカイブ(Windowsショートカット(LNK)やヘルプファイル(CHM)を含む)を配布し、CHILLYCHINOまたは既知のPowerShell版Chinottoを実行、その後C2サーバーと通信して次段階のペイロードを取得、最終的にFadeStealerを起動します。
「ランサムウェアの発見は、純粋な諜報活動から金銭目的や破壊的な活動への大きな転換を示しています」とS2Wは述べています。「この進化は、機能の多様化だけでなく、グループの目的における戦略的な再編成も浮き彫りにしています。」
新たなKimsukyキャンペーンの暴露#
また、北朝鮮系ハッキンググループKimsuky(別名APT43)が、侵害を受けたとされ(中国拠点のアクターの戦術やツールが暴露された、または中国のオペレーターが模倣している可能性もある)、2つの異なるキャンペーンに関与していることが判明しました。そのうちの1つは、GitHubリポジトリを悪用して情報窃取マルウェアを配布・データ持ち出しを行うものです。
「脅威アクターは、ZIPアーカイブ内に含まれる悪意あるLNKファイルを利用して、GitHubリポジトリから追加のPowerShellベースのスクリプトをダウンロード・実行しました」とS2Wは述べています。「リポジトリへのアクセスには、スクリプト内にハードコードされたGitHubプライベートトークンが直接埋め込まれていました。」
リポジトリから取得されたPowerShellスクリプトは、最終起動時間やシステム構成、稼働中のプロセスなどのシステムメタデータを収集し、ログファイルに書き込んで攻撃者管理のリポジトリにアップロードする機能を備えています。また、疑念を抱かせないようにおとり文書もダウンロードします。
信頼されたインフラを悪用しているため、api.github.comへの通信や不審なスケジュールタスクの作成(永続化の兆候)を監視することが推奨されます。
Kimsukyに関連する2つ目のキャンペーンは、OpenAIのChatGPTを悪用してディープフェイクの軍人身分証を偽造し、韓国の防衛関連組織や北朝鮮関連の研究者、人権活動家、ジャーナリストなどを標的としたスピアフィッシング攻撃に関するものです。
軍人身分証のディープフェイクおとりを使ったフィッシングメールは、2025年7月17日に観測されており、6月12日から18日にかけてのClickFixベースのフィッシングキャンペーンに続いて、データ窃取や遠隔操作を可能にするマルウェアの展開につながっています。
多段階感染チェーンでは、ClickFix風のCAPTCHA認証ページを利用し、外部サーバーに接続して攻撃者が発行するバッチファイルコマンドを実行するAutoItスクリプトを展開していることが、韓国のサイバーセキュリティ企業Geniansのレポートで明らかになりました。
また、最近の一連の攻撃では、偽のメールでユーザーを認証情報窃取ページにリダイレクトしたり、細工されたリンクを含むメッセージを送信し、クリックするとLNKファイルを含むZIPアーカイブをダウンロードさせ、最終的にChatGPTで生成した合成画像やバッチスクリプト、AutoItスクリプトをキャビネットアーカイブファイルで実行させる手法も使われています。
「これは、韓国の防衛関連機関になりすまし、軍関連職員の身分証発行業務を装ったAPT攻撃と分類されました」とGeniansは述べています。「これはKimsukyグループによるディープフェイク技術の適用を示す実例です。」
翻訳元: https://thehackernews.com/2025/09/dprk-hackers-use-clickfix-to-deliver.html