Bitdefender Labsは、北朝鮮と関係のあるラザルス・グループによる現在進行中のキャンペーンについて警告しています。このキャンペーンでは、偽のLinkedIn求人を通じて資格情報を窃取し、マルウェアを配布することで組織を標的にしています。
LinkedInは求職者やプロフェッショナルにとって重要なツールですが、その信頼性を悪用するサイバー犯罪者にとっての遊び場にもなっています。偽の求人情報や巧妙なフィッシング詐欺から、詐欺行為、さらには人々のキャリア志向やプロフェッショナルネットワークへの信頼につけ込む国家支援の脅威アクターに至るまで、さまざまな悪用が行われています。
こうした状況を明らかにするため、本記事ではLinkedIn上で行われた失敗に終わった「採用」オペレーションの欺瞞的な手口を掘り下げます。この攻撃者たちは致命的なミスを犯しました。標的にした相手が、悪意ある意図をすぐに見抜いたBitdefenderのリサーチャーだったのです。
仕掛け:魅力的に見える求人オファー
この詐欺は、魅力的なメッセージから始まります。分散型暗号通貨取引所の開発に協力しないかという誘いです。詳細は意図的に曖昧にされていますが、リモートワーク、パートタイムの柔軟性、妥当な報酬といった約束が、疑うことを知らない人々を引き寄せます。この詐欺にはバリエーションもあり、旅行関連や金融関連のプロジェクトを装うケースも確認されています。
標的が興味を示すと、「採用プロセス」が進み、詐欺師は履歴書(CV)や個人のGitHubリポジトリへのリンクの提供を求めてきます。一見すると無害に思えるこれらの要求も、個人情報の収集や、やり取りにもっともらしさを与えるといった悪意ある目的に利用される可能性があります。
「応募者」が提出したファイルは、「採用担当者」によって有効活用されることはほぼ間違いありません。情報を収集し、それを利用して、何も疑っていない被害者との会話にさらなる正当性を持たせることができるのです。
罠:悪意あるコードの実行
要求した情報を受け取ると、犯罪者はプロジェクトの「実用最小限の製品(MVP)」を含むリポジトリを共有します。また、そのデモを実行しなければ答えられない質問が書かれたドキュメントも同梱されます。
一見すると、このコードは無害に見えます。しかし詳しく調べると、サードパーティのエンドポイントから動的に悪意あるコードを読み込む、強く難読化されたスクリプトであることが判明します。
当社のリサーチャーは、このペイロードがWindows、macOS、Linuxの各オペレーティングシステム上に展開可能なクロスプラットフォーム型インフォスティーラーであることを確認しました。このインフォスティーラーは、以下のIDを持つ暗号通貨関連のブラウザ拡張機能を探すことで、複数の人気暗号通貨ウォレットを標的にするよう設計されています。
一度展開されると、このスティーラーはこれらの拡張機能に対応する重要なファイルを収集すると同時に、使用されているブラウザのログインデータも収集し、サーバー上に他の悪意あるファイルが存在すると思われる悪意あるIPアドレスへと情報を流出させます。ログイン情報および拡張機能関連データを流出させた後、JavaScript製スティーラーはmain99_65.pyという名前のPythonスクリプトをダウンロードして実行し、さらなる悪意ある活動の足掛かりを作ります。
このPythonスクリプトは、自身を多段階で解凍・デコードし続け、最終的に次のステージとなる隠しスクリプトを露わにします。この隠しスクリプトは、さらに3つの追加Pythonモジュールのダウンロードを可能にします。
mlip.py
- ウェブブラウザを特に標的としてキーボードイベントをフックします。
- システム全体のクリップボードの変化を監視し、暗号通貨関連データを探します。
- 盗み出したデータを即座に攻撃者が管理するリモートサーバーへ送信します。
pay.py
- システム/ネットワーク情報を攻撃者に報告します。
- 価値のあるファイル(ドキュメント、環境変数、秘密鍵、暗号通貨のニーモニック)を探索・窃取し、それらを攻撃者のC2サーバーにアップロードします。
- 追加のコマンドやスクリプトのために、永続的な通信チャネルを維持します。
bow.py
- 以下のブラウザを順に走査します:Chrome、Brave、Opera、Yandex、Microsoft Edge
- Windows、Linux、macOS向けに、ブラウザの機密データ(ログイン情報や支払い情報)を抽出・流出させます。
- Tsunami InjectorというPythonスクリプトを実行し、複数のPastebinに接続してペイロード(.exe 617205f5a241c2712d4d0a3b06ce3afd)のURLに到達します。
次のペイロード(.NETバイナリ)は、メインペイロードとともにさらなる依存コンポーネントをドロップします。依存コンポーネントの1つは、Microsoft Defenderの除外リストに悪意あるバイナリを追加すると同時に、C2(コマンド&コントロール)サーバーとの通信に使用するTorプロキシサーバーをダウンロードして起動します。さらに、このバイナリはTor C2から別の悪意ある実行ファイルをダウンロードし、.NET 6.0が未インストールの場合はそれをインストールし、被害者に関する以下のフィンガープリンティング情報を流出させます。
- ホスト名
- ユーザー名
- オペレーティングシステム
- プロセッサ名とコア数
- GPU名
- RAM情報
- グローバルIPアドレス&国&都市
Tor C2サーバーからダウンロードされる実行ファイルには、複数のモジュールが含まれており、それぞれ別スレッドで実行されます。
- バックドア – ブラウザのパスワード、セッション、暗号通貨ウォレットの鍵、Discordアカウントのシークレットなど、幅広いデータ収集を行います。
- 「秘密ファイル」スティーラー – C2サーバーから取得したルールに基づいてファイルをスキャン・窃取する、設定可能なスティーラーです。
- クリプトマイナー – こちらも設定可能で、特定の監視指標(CPU&GPU負荷、CPUコア数、RAM容量、稼働状況)に基づいてスロットリングできます。
- キーロガー – win32 APIを使用してキーストロークを取得・保存・流出させます。
脅威アクターの感染チェーンは複雑であり、複数のプログラミング言語で書かれた悪意あるソフトウェアが含まれています。多層構造のPythonスクリプトが再帰的に自身をデコード・実行し、JavaScript製スティーラーがまずブラウザデータを収集してからさらなるペイロードへとピボットし、.NETベースのステージャーがセキュリティツールの無効化、Torプロキシの構成、クリプトマイナーの起動を可能にするなど、多様な技術が用いられています。
このマルウェアはクロスプラットフォーム互換性によりWindows、macOS、Linuxを感染させ、HTTP、Tor、攻撃者管理のIPといった多様な流出手段を使用します。また、キーロギング、システム偵察、ファイル収集、継続的なC2通信のためのモジュールを備えており、その能力の広さと複雑さを示しています。
マルウェアと運用上の戦術の分析からは、国家支援の脅威アクター、特に北朝鮮の関与が強く示唆されます。これらのアクターは、過去にも悪意ある求人情報や偽の求人応募と関連付けられており、ラザルス・グループ(APT 38)などのグループとのつながりが確認されています。
彼らの目的は、個人情報の窃取にとどまりません。航空、防衛、原子力産業などの分野で働く人々を侵害することで、機密情報、独自技術、企業の認証情報を流出させることを狙っています。本件のようなケースでは、エンタープライズ端末上でマルウェアを実行することで、攻撃者に機密企業データへのアクセスを与え、被害を一層拡大させる可能性があります。
本記事では悪意ある求人オファーについて取り上げましたが、同じ脅威アクターが、偽の身元を使って多数の職種に応募することで、さまざまな企業への侵入を試みていることも確認されています。結果としてはほぼ同じであり、企業スパイによって個人情報、認証情報、技術情報が流出させられることになります。
最新かつ完全な侵害指標(IoC)の一覧は、 Bitdefender Advanced Threat Intelligence ユーザー向けに こちらで提供されています。
安全を守るには
ソーシャルプラットフォームが悪意ある活動の温床となりつつある今、警戒心は不可欠です。以下に、注意すべき兆候と自分を守るための対策を挙げます。
要注意の兆候:
- 曖昧な求人内容:プラットフォーム上に対応する正式な求人掲載が存在しない。
- 不審なリポジトリ:ランダムな名前のユーザーが所有し、適切なドキュメントやコントリビューション履歴がない。
- 稚拙なコミュニケーション:頻繁なスペルミスがあり、企業メールや電話番号などの代替連絡手段の提供を拒む。
ベストプラクティス:
- 未検証コードの実行を避ける:コードを安全にテストするために、仮想マシン、サンドボックス、オンラインプラットフォームを使用する。
- 真正性の確認:求人オファーを公式企業サイトと照合し、メールドメインを確認する。
- 慎重なマインドセットを持つ:予期せぬメッセージや個人情報の要求を注意深く精査する。
理想的には、エンタープライズ端末上で外部のソースコードを一切実行しないことが望ましく、個人用PCで実行する場合も、仮想マシン、サンドボックス、各種オンラインプラットフォームを利用すべきです。こうした手間は多少増えますが、将来的に個人情報が漏えいし、悪意ある目的で利用されることを防ぐことができます。
すべてのデバイスを包括的に保護
Bitdefenderの 包括的な多層防御 は、ウイルス、マルウェア、スパイウェア、ランサムウェアから、最も高度なフィッシング攻撃に至るまで、あらゆるサイバー脅威からあなたを守ります。
各種プランは こちらからご確認いただけます。
誰かに詐欺を仕掛けられていると感じたり、ウェブサイトが怪しいと感じた場合は、AI搭載の詐欺検知サービス Scamioでチェックしてください。無料でご利用いただけます。テキスト、メッセージ、リンク、QRコード、画像などをScamioに送信すると、それらが詐欺の一部かどうかを分析します。Scamioは無料で、 Facebook Messenger、 WhatsApp、 ウェブブラウザ および Discordで利用可能です。さらに便利な Link Checkerも無料で利用でき、リンクの正当性を検証し、デバイス、データ、そして身元が侵害されるのを防ぐことができます。
