- Lazarusグループが偽の求人を使い、東南ヨーロッパのドローン企業にマルウェアを感染させた
- 攻撃者は独自のUAVデータを盗み、RATを展開してシステムを完全制御した
- 標的となったドローンはウクライナで使用されており、北朝鮮も同様の航空機を開発中
悪名高い北朝鮮の国家支援型脅威グループ「Lazarusグループ」は、Operation DreamJob詐欺で東南ヨーロッパの防衛企業を標的にしてきました。
セキュリティ研究者のESETによると、攻撃の目的は無人航空機(UAV)やドローンに関するノウハウやその他の独自情報を盗むことでした。
Lazarusは北朝鮮の兵器開発プログラムを支援する活動で知られています。これは通常、暗号資産企業を攻撃し、資金を盗み、それを研究開発の資金に充てるという手法です。今回の作戦はやや異なりますが、目的は同じです。
ScoringMathTea
Operation DreamJobはLazarusの代表的な手口です。グループは偽の企業、偽の人物、偽の求人を作り、ターゲットに高収入のポジションを持ちかけて接触します。
この罠にかかった人々は、通常、複数回の「面接」や試験に招待され、その中でPDFファイルやプログラム、アプリ、コードのダウンロードを求められます。
しかし、実際に「試験」を完了する代わりに、被害者は単にマルウェアをダウンロードしてしまうことになります。
ESETによると、これらの攻撃は北朝鮮兵士がロシアのクルスク地域でロシア軍を支援していた2024年末ごろに発生しました。少なくとも3社が侵害され、ドローンの製造方法に関する情報が盗まれました。
研究者たちは、北朝鮮が自国でドローンを製造しており、東ヨーロッパのドローンで使われている多くの素材が北朝鮮でも使われていると説明しています。また、東ヨーロッパで設計された多くのドローンがウクライナ戦争で使用されており、それがLazarusにとって特に関心が高かった理由だと述べています。
標的への侵入後、攻撃者はScoringMathTeaというリモートアクセス型トロイの木馬(RAT)を展開し、侵害されたマシンを完全に制御できるようにします。
「Operation DreamJobは少なくとも部分的には、UAVに関する独自情報や製造ノウハウの窃取を目的としていた可能性が高いと考えています。ドロッパーの1つでドローンに言及されていたことは、この仮説を大きく裏付けるものです」と、これら最新のLazarus攻撃を発見・分析したESETの研究者Peter Kálnai氏は述べています。
「標的となった企業の1社は、現在ウクライナで運用されている少なくとも2種類のUAVモデルの製造に関与しており、北朝鮮は前線でこれらに遭遇した可能性があります。この企業はまた、ピョンヤンが積極的に開発している先進的な単一ローター型ドローンのサプライチェーンにも関与しています」とESETのサイバー脅威アナリスト、Alexis Rapin氏は付け加えています。
