求人情報を装ったベトナム人脅迫者のマルウェア配信と認証情報盗難キャンペーン

Googleの脅威インテリジェンスグループ（GTIG）は、ベトナムを拠点とする経済的動機を持つ脅迫者グループを追跡しており、このグループは正規のプラットフォーム上の虚偽の求人情報を利用して、デジタル広告およびマーケティング部門の個人を狙っています。この脅迫者は社会工学を巧みに利用してマルウェアとフィッシングキットを配信し、最終的には企業の高価値アカウントを侵害してデジタル広告アカウントを乗っ取ることを目的としています。GTIGはこの活動の一部をUNC6229として追跡しています。 

この活動は、現在の職を持ちながら積極的に新しい仕事を探す可能性がある契約職またはパートタイムの職に就いているリモートデジタル広告業務従事者を対象としています。攻撃は、対象者がマルウェアをダウンロードして実行するか、フィッシングサイトに認証情報を入力するときに開始されます。対象者が個人アカウントでログインしながら仕事用コンピュータを使用している場合、または企業の広告アカウントにアクセスできる個人デバイスを使用している場合、脅迫者はそれらの企業アカウントにアクセスすることができます。企業の広告またはソーシャルメディアアカウントが正常に侵害されると、脅迫者は他のアクターに広告を販売するか、他のアクターにアカウント自体を販売して収益化することができます。このブログでは、脅迫者の戦術、技術、および手順（TTP）について説明しています。

深刻な脅迫者に対抗するための取り組みの一環として、GTIGは調査結果を使用してGoogleの製品とユーザーのセキュリティを向上させています。発見時に、特定されたすべてのウェブサイト、ドメイン、およびファイルはSafe Browsingのブロックリストに追加され、主要なブラウザ全体のウェブユーザーを保護しています。セキュリティコミュニティとの知見共有に取り組み、認識向上とこの活動の妨害を目指しています。戦術と技術の理解を深めることで、脅威狩猟能力の向上と業界全体でのより強固なユーザー保護につながることを期待しています。

はじめに

GTIGは、ベトナムを拠点に活動していると考えられる経済的動機を持つ脅迫グループUNC6229によって実施された、継続的かつ標的型の社会工学キャンペーンを特定しました。このキャンペーンは、一般的な採用プラットフォーム、フリーランサーマーケットプレイス、および独自の求人投稿ウェブサイト上に虚偽のキャリア機会を投稿することで、求人申請プロセスに固有の信頼を悪用しています。申請者は、マルウェアの配信またはシステムへのリモートアクセスを可能にする、または企業の認証情報を盗むために設計された非常に説得力のあるフィッシングページで終わる複数段階のプロセスに誘い込まれます。

主な標的はデジタルマーケティングおよび広告で働く個人のようです。このデモグラフィックを狙うことで、UNC6229は高価値の企業広告およびソーシャルメディアアカウントへの正規のアクセス権を持つ個人を侵害する可能性を高めています。このキャンペーンは、その忍耐強い被害者主導の社会工学、正規の商用ソフトウェアの悪用、および特定の業界への標的化されたアプローチで注目に値します。

キャンペーンの概要：「虚偽のキャリア」おとり

このキャンペーンの有効性は、被害者が最初の連絡を開始する古典的な社会工学的戦術に左右されます。UNC6229は、デジタルメディア機関として偽装することが多い虚偽の企業プロフィールを、正規の求人プラットフォーム上に作成します。彼らは、標的デモグラフィックに訴える魅力的で、多くの場合リモートの求人を投稿します。 

個人がこれらの虚偽の職位の1つに申請すると、彼らは脅迫者に自分の名前、連絡先情報、および履歴書を提供します。この自発的な行動は信頼の基礎を確立します。その後、UNC6229が申請者に連絡すると、被害者は潜在的な雇用主からの正規のフォローアップであると信じて、より受容的になります。

この脆弱性は初期の求人申請を超えて拡張されます。脅迫者は被害者の情報を今後の他の架空の求人に関する「コールドメール」のために保持することができます。また、積極的に職を探している人物の選別されたリストを他の攻撃者に販売して、類似の悪用に利用させることもできます。

技術分析：攻撃チェーン

被害者が求人に応募すると、UNC6229は通常メール経由で、また直接メッセージングプラットフォームを通じて連絡を開始します。場合によっては、攻撃者は一括メール送信を可能にする商用CRMツールも使用しています。キャンペーンに応じて、攻撃者は被害者にマルウェアが含まれた添付ファイル、マルウェアをホストするウェブサイトへのリンク、またはインタビューをスケジュールするためのフィッシングページへのリンクを送信する場合があります。

1. 虚偽の求人情報

虚偽の求人情報を使用して、攻撃者は特定の業界と場所を対象とし、特定の地域でデジタル広告業界に関連する求人を投稿しています。この同じ種類の標的化は、任意の業界または地理的位置にわたって機能します。求人情報は正規のサイト上にも、脅迫者によって作成されたウェブサイト上にもあります。

2. 初期連絡とインフラストラクチャの悪用

被害者が求人に応募すると、UNC6229は通常メール経由で、また直接メッセージングプラットフォームを通じて連絡を開始します。初期連絡は多くの場合無害であり、個人化されており、被害者が申請した求人を参照し、被害者を名前で呼びかけています。この最初の連絡は通常、添付ファイルやリンクは含まれていませんが、応答を引き出し、さらに関係を構築するために設計されています。 

GTIGは、UNC6229および他の脅迫者が、これらの初期メールを送信し、キャンペーンを管理するために、正規のビジネスおよび顧客関係管理（CRM）プラットフォームの広い範囲を悪用しているのを観察しています。これらの信頼されたサービスを悪用することで、脅迫者のメールはセキュリティフィルターをバイパスし、被害者に正規のものとして表示される可能性が高くなります。Salesforceを含むUNC6229が悪用しているCRMと、このキャンペーンに関する洞察を共有しており、エコシステムのセキュリティを強化するために支援しています。Google GroupsやGoogle AppSheetを含むGoogleの製品の使用をブロックすることによって、これらの脅迫者を中断し続けています。

3. ペイロード配信：マルウェアまたはフィッシング

被害者が応答すると、脅迫者はペイロード配信フェーズに進みます。キャンペーンに応じて、攻撃者は被害者にマルウェアが含まれた添付ファイルまたはフィッシングページへのリンクを送信する場合があります：

• マルウェア配信：脅迫者は、スキルテスト、申請フォーム、または必須の予備タスクであると主張して、パスワードで保護されたZIPファイルなどの添付ファイルを送信します。被害者は、ファイルを開くことが採用プロセスの必須ステップであると指示されます。ペイロードには、脅迫者が被害者のデバイスを完全に制御し、その後オンラインアカウントを乗っ取ることを可能にするリモートアクセストロイの木馬（RAT）が含まれることが多いです。
• フィッシングリンク：脅迫者は、URLショートナーで難読化されることもあるリンクを送信し、被害者をフィッシングページに導きます。このページは、インタビューをスケジュールするか評価を完了するためのポータルとして提示されることが多いです。

フィッシングページは、大企業のブランドを使用して非常に説得力があるように設計されています。GTIGは、この脅威活動に関連する複数のフィッシングキットを分析し、企業メール認証情報を特別に対象としており、OktaおよびMicrosoftを含むさまざまな多要素認証（MFA）スキームを処理できることを発見しています。

属性

GTIGは、この活動が、ベトナムに位置する経済的動機を持つ個人のグループによって実施されていることを高い信頼度で評価しています。複数のインシデント全体での共通のTTPとインフラストラクチャは、アクターが私有フォーラムでツールと成功した技術を交換する可能性のある協力的な環境を示唆しています。

見通し

「虚偽のキャリア」社会工学的戦術は、基本的な人間の行動と職業生活の必要性に対して捕食するため、強力な脅威です。UNC6229および他のアクターが、このアプローチを洗練し、価値のある企業資産にアクセスできる従業員がいる他の業界への標的化を拡張し続けることを予想しています。マルウェア攻撃キャンペーンのための正規のSaaSおよびCRMプラットフォームの悪用は、従来の検出方法に課題をもたらす増加傾向です。

侵害の指標

次の侵害の指標は、Google Threat Intelligence（GTI）コレクションに登録ユーザーが利用できます。