- UNK_DeadDrop、メールを使った偽求人で開発者を標的に
- Lazarusの戦術を踏襲しつつ、新たな自己完結型ペイロードを使用
- Proofpointは大規模フィッシングへの転換が北朝鮮の「産業化」を示すと分析
ソフトウェア開発者を偽の求人で誘い込む北朝鮮系の脅威アクターは、Lazarusだけではありません。現在、UNK_DeadDropと呼ばれるハッキンググループも同様の手口を使っていますが、いくつかの点で顕著な違いがあります。
Proofpointのセキュリティ研究者たちは、「Contagious Interview」キャンペーンに酷似した進行中のキャンペーンを詳しく分析した報告書を公開しました。
Contagious Interviewをご存じない方のために説明すると、これはLazarusが展開する二大キャンペーンの一つで、もう一つはOperation DreamJobです。攻撃者は企業・従業員・プロジェクトのすべてを偽装した上で、LinkedInで「採用活動」を繰り広げていました。AIやWeb3の著名組織で働くソフトウェア開発者に接触し、高額報酬のポジションや魅力的な新プロジェクトへの参加機会を持ちかけていたのです。
類似点と相違点
ただし、採用プロセスには試験課題が設けられており、多くの場合、被害者はGitHubから悪意のあるコードを実行するよう求められます。情報窃取マルウェアでターゲットを感染させた後、攻撃者は企業プロファイルにアクセスして暗号資産ウォレットの情報を流出させ、可能な限り多くのトークンを盗み出します。
一部の情報筋によれば、Lazarusだけで長年にわたり数十億ドル相当の暗号資産を盗み出してきたとされています。
UNK_DeadDropもおおむね同様の目的で活動していますが、そのアプローチはやや異なります。最初の接触にLinkedInを使う代わりに、主にメールを利用します。偽の面接をセッティングするのではなく、一方的な求人オファーやコードレビューの依頼を送りつけます。そして、Contagious Interviewキャンペーンでこれまでに確認されたものとは異なる、新たな自己完結型ペイロードを使用している点も特徴的です。
「UNK_DeadDropの活動は、開発者を経済的利益のために標的とする北朝鮮系の作戦が成熟し、進化しつつあることを示しています」とProofpointの研究者たちは結論付けています。
「SNSプラットフォーム上での積極的なソーシャルエンジニアリングによる偽面接から、悪意のあるリポジトリへのリンクを配布する大規模な採用テーマのフィッシングメールキャンペーンへの転換は、攻撃者が運用を産業化・大規模化させていることを示唆している可能性があります。」
