- 研究者が偽の求人キャンペーンを行う北朝鮮ハッカーを騙した
- ハッカーたちは正規のノートパソコンだと思い込んでサンドボックスを使用した
- これにより彼らの戦術について貴重な洞察が得られた
BCA Ltdの創設者マウロ・エルドリッチがNorthscanおよびANY.RUNと提携して行った調査では、悪名高いラザルスグループが「悪意ある面接」キャンペーンという最も悪質なスキームの一つを実行していることが確認されました。このスキームでは、北朝鮮の労働者が正規のリクルーターを騙して有名企業に採用されようとし、その地位を利用して悪意ある活動を行おうとします。
この情報収集作戦の研究者たちは、ハッカーたちが「本物の開発者用ノートパソコン」だと信じていたもの、実際はANY.RUNが所有するリモート制御のサンドボックス環境に誘い込むことに成功しました。
最近観測されたキャンペーンでは、ハッカーたちは本物のエンジニアをフロント役として雇い、面接や会議に出席する見返りに給与の20%から30%を提供していました。
有名な千里馬
「有名な千里馬」と名乗る犯罪者たちをサンドボックスに誘い込むことで、研究者たちは彼らの戦術と、ランサムウェアを使わずに身元を乗っ取ることを可能にする限定的ながら強力なツール群を明らかにしました。
犯罪者たちは、ブラウザベースのOTPジェネレーター、AI自動化ツール、そしてGoogleリモートデスクトップを使用して2要素認証を回避し、ホストの継続的な制御を可能にしていました。
これは特に驚くことではありません。なぜなら、これらの攻撃は戦略や技術ツールを進化させながら何度も繰り返されているからです。FBIは最近、北朝鮮のハッカーによる取り組みに警鐘を鳴らす声明を発表しました。
「北朝鮮のソーシャルエンジニアリングスキームは複雑かつ巧妙であり、被害者は高度な技術力によってしばしば侵害されます。この悪意ある活動の規模と継続性を考えると、サイバーセキュリティの知識が豊富な人でさえ、暗号資産に関連するネットワークを北朝鮮に侵害されるリスクがあります。」
この研究により、セキュリティチームはこれら犯罪グループの活動についてより詳細な知見を得ることができ、企業は防御をより強化できます。企業はこれらの組織が使用する一般的なツールを理解することが重要です。なぜなら、1つの侵害がより重大な侵入につながる可能性があるからです。
翻訳元: https://www.techradar.com/pro/security/north-korean-fake-worker-scheme-caught-live-on-camera
