前例のない情報作戦の中で、セキュリティ研究者たちは、北朝鮮のITリクルーターがどのように開発者を標的にし、違法な資金調達のために身元を貸し出させるよう誘惑しているかを暴いた。
Famous Chollima(WageMoleとしても知られる)は、北朝鮮の国家支援グループであるLazarusの一部であり、西側企業にスパイ活動と体制の収益獲得目的で侵入するためのソーシャルエンジニアリングキャンペーンで知られている。
彼らは盗まれた身元情報と、ディープフェイク動画を含む大量のAIを駆使し、面接中にカメラに映ることを避けることで、リクルーターを欺き、フォーチュン500企業での職を獲得することに成功してきた。
もう一つの手口は、正規のエンジニアを勧誘し、標的企業でリモートワークの職を得るための作戦において、DPRK(北朝鮮)工作員の名目上の代表として行動するよう説得することだ。
フロントマンは、面接など企業とのやり取りにおいて工作員の「顔」となり、契約期間中、給与の20%から35%を受け取ることになる。
より多くの金額を得るには、そのエンジニアはDPRK工作員に自分のコンピュータを使わせなければならない。
これは、北朝鮮側の位置情報や痕跡を隠すためであり、コンピュータとエンジニアを悪意ある活動のプロキシとして利用するためだ。
Mauro Eldritch氏で、BCA LTDのハッカー兼脅威インテリジェンススペシャリストは、身元を貸し出したエンジニアがすべてのリスクを負い、発生した損害について唯一の責任を負うことになると述べている。
GitHubリポジトリへのスパム投稿
Eldritch氏は、デジタル金融サービス企業BitsoのWeb3脅威研究チーム「Quetzal Team」を率いる中で、Famous Chollimaのリクルーティング手口に精通するようになった。
彼は、簡単に金を稼ごうとする、だまされやすいエンジニアや開発者を探すDPRK工作員との複数のやり取りを記録している[1、2、3, 4、5]。
最近、彼はGitHub上で複数のアカウントを発見した。そこでは、提供された偽の身元を使って技術面接(.NET、Java、C#、Python、JavaScript、Ruby、Golang、ブロックチェーン)に参加する人材を募集する告知が、リポジトリにスパム投稿されていた。
出典: Mauro Eldritch および Heiner García
応募者は技術分野に精通している必要はなく、リクルーターが「面接官に効果的に回答できるよう支援する」とされていた。
オファーをより魅力的にするため、DPRK工作員は金銭的な期待値を「月額約3000ドル」と設定していた。
出典: Mauro Eldritch および Heiner García
Eldritch氏はこの挑戦を受け、North Korean IT workerの潜入を暴くためのNorthScan脅威インテリジェンスイニシアチブからHeiner García氏と共に計画を立てた。
2人の研究者はANY.RUNサンドボックスおよびマルウェア解析プラットフォームを使い、作戦で用いられる戦術やツールを後から分析できるよう、活動をリアルタイムで記録できるシミュレートされたラップトップファーム型ハニーポットを構築した。
García氏は、リクルートオファーに応じる新人エンジニアの役を引き受けた。彼は、以前に接触があったという設定の、米国在住の開発者Andy Jonesという人物になりすました。
研究者たちは、公開リポジトリや関連情報に至るまでJonesのものを模倣した新しいGitHubプロフィールを作成した。
作戦に関する情報を得るためにDPRK工作員と複数回やり取りした後、北朝鮮側のリクルーターは、「リモートワーク」のためにAnyDeskを通じてEldritch氏のラップトップへの24時間365日のリモートアクセスを要求した。
徐々に、その工作員は、Andy Jonesとして面接に応募するために、ID、フルネーム、ビザステータス、住所が必要だと明かした。
面接でフロントマンとして振る舞う見返りとして、Eldritch氏のペルソナは給与の20%を受け取るか、「彼自身が面接を行う間、私の情報とラップトップだけを使う場合は10%」を受け取ることになっていた。
DPRK工作員はまた、身元調査のために社会保障番号も求め、すべてのアカウントはKYC準拠プラットフォーム上で認証される必要があると説明した。
Astrill VPN経由でのリモート接続
ドイツに拠点を置くサンドボックス化されたANY.RUN環境を構築し、米国拠点に見えるようレジデンシャルプロキシで接続をトンネリングした後、研究者たちは「リクルーター」が彼らの「ラップトップ」にリモート接続できる準備を整えた。
研究者たちは環境を完全に制御でき、リモート接続を維持したまま脅威アクターのブラウジングを阻止したり、任意のタイミングでマシンをクラッシュさせて、第三者に対する悪意ある活動を阻止することができた。
研究者たちのマシンにリモート接続した後、脅威アクターはシステムのハードウェアを確認し、Google Chromeをデフォルトブラウザに設定し、端末の位置情報を検証し始めた。
研究者たちは、リモート接続が北朝鮮の偽IT労働者の間で人気のAstrill VPN経由で行われていることに気づいた。
出典: Costin Raiu
使われたツールと手口
2人の研究者は、マシンをクラッシュさせて進捗をすべて消したり、メッセージへの返信を遅らせたりして、北朝鮮側の活動を可能な限り引き延ばし、その忍耐力を試した。
彼らは、こうした技術的な「不具合」のすべてを、ネットワークの誤設定や工作員のVPN利用のせいにすることさえあった。
ある場面では、研究者たちはDPRK工作員をログインとCAPTCHAのループにはめ込み、彼はそこから抜け出そうとしてほぼ1時間を費やした。
しかし、これらすべての行動は、作戦の詳細、関与する人物、他国の潜在的な協力者、そして使用されているツールや手口に関する、より多くの情報を得ることにつながった。
研究者たちは、AIApply、Simplify Copilot、Final Round AI、Saved Promptsといった複数のAI搭載拡張機能を確認した。これらは、脅威アクターが求人応募や履歴書作成を自動入力したり、ChatGPT LLMのプロンプトを保存したり、面接中にリアルタイムで回答を得るのに役立っていた。
これに加え、脅威アクターはOTP認証拡張機能、Google Remote Desktopの利用、そして日常的なシステム偵察の手口も明らかにした。
ある時点で、偽のリクルーターは自分のGoogleアカウントにログインし、同期オプションを有効にした。これにより、そのプロフィールに紐づくすべてのブラウザ設定が読み込まれ、メールの受信トレイにもアクセスできるようになった。
出典: Mauro Eldritch および Heiner García
García氏とEldritch氏は、複数の求人プラットフォームへの登録、インストール済みのブラウザ拡張機能、Slackワークスペースや一部のチャットを確認することができた。
「彼はZeeshan Jamshedという人物と定期的に会話しており、その人物は最初の会話で、イスラム教の祝祭であるイードのために外出すると述べていました」と、研究者たちはBleepingComputerと共有したレポートの中で述べている。
レポートによると、この作戦に関与したFamous Chollimaチームは6人で構成されており、Mateo、Julián、Aaron、
Jesús、Sebastián、Alfredoという名前を使用していた。
ただし、Famous Chollima作戦に関与する北朝鮮チームは複数存在し、その中には10人編成のチームもあり、互いに競合し、潜在的な被害者を奪い合っていることも付記しておくべきだと、Eldritch氏とGarcía氏はレポートの中で指摘している。
北朝鮮の脅威アクターとのやり取りから収集された情報は、中小企業から大企業まで、防御側にとって潜在的な潜入試行の早期警告として役立ちうる。
このデータは、グループの行動を予測し、ワークフローを妨害し、標準的なマルウェアIoCマッチングを超えた検知能力の向上に貢献する可能性がある。
