北朝鮮と関係するハッカーによるサイバー脅威インテリジェンス(CTI)プラットフォームの悪用が、サイバーセキュリティ専門家によって明らかにされました。
SentinelLabsとインターネットインテリジェンス企業Validinによる調査で、この活動がContagious Interviewクラスターに関連していることが判明しました。このキャンペーンは、マルウェアが仕込まれたリクルート手口で求職者を標的にすることで知られています。
2025年3月から6月の間に、このグループはValidinのインフラストラクチャインテリジェンスポータルへのアクセスを試み、Lazarusに関連する活動を詳細に記したブログ記事が公開された数時間以内に複数のアカウントを登録したと報告されています。ハッカーたちは、以前の活動と関連付けられたGmailアドレスを使用しましたが、Validinはすぐにこれらをブロックしました。それにもかかわらず、彼らはこの目的のために新たに登録したドメインを含む新しいアカウントで再び現れました。
執拗な試みと適応力
脅威アクターは粘り強さを示し、数か月にわたり繰り返しアカウントを作成しログインを試みました。SentinelLabsは、戦術を監視するために、あえて1つのアカウントをアクティブなままにしました。調査員は、リアルタイムで検索結果を共有するためにSlackを使用していると疑われるなど、チームベースの連携の証拠を発見しました。
発覚を避けるためにインフラ全体を大きく変更するのではなく、ハッカーたちはサービスプロバイダーによって停止されたシステムを新しいシステムで置き換えることに注力しました。この戦略により、発覚後も被害者への働きかけを高い頻度で維持することができました。
Lazarusグループのサイバー作戦についてさらに読む:200以上の悪意あるオープンソースパッケージがLazarusキャンペーンに関連
インフラ偵察とOPSEC(運用セキュリティ)上の失敗
研究者たちは、このグループがValidinを利用して検知の兆候を追跡するだけでなく、新しいインフラを購入する前に偵察していることを観察しました。skillquestions[.]comやhiringassessment[.]netなど、リクルート関連のドメインを検索していたことから、フラグが立てられた資産を避けようとしていたことが示唆されます。
それでも、いくつかの運用セキュリティ上のミスにより、ログファイルやディレクトリ構造が露出し、彼らのワークフローに関する貴重な洞察が得られました。
調査ではまた、ContagiousDropアプリケーション――リクルートサイトに埋め込まれたマルウェア配布システム――も明らかになりました。
これらのアプリケーションは、被害者が悪意あるコマンドを実行した際にメールアラートを送信し、氏名、電話番号、IPアドレスなどの詳細を記録していました。2025年1月から3月の間に、主に暗号通貨業界の230人以上が影響を受けました。
キャンペーンの目的と広範な影響
SentinelLabsによると、Contagious Interviewキャンペーンは主に北朝鮮の資金調達ニーズに応えるものであり、ソーシャルエンジニアリングを通じて世界中の暗号通貨関連の専門家を標的にしています。
このグループはインフラを保護するための体系的な対策を導入していませんが、迅速な再展開と継続的な被害者獲得によってそのレジリエンスを維持しています。
「ターゲットとの接触においてキャンペーンが継続的に成功していることを考えると、脅威アクターにとって既存の資産を維持するよりも新しいインフラを展開する方が、より実用的かつ効率的である可能性があります」とSentinelLabsは説明しています。
本レポートは、特に暗号通貨分野の求職者が警戒を怠らないことの重要性を強調しています。また、インフラプロバイダーも重要な役割を担っており、迅速なサービス停止がこれらの活動に大きな妨害をもたらします。
翻訳元: https://www.infosecurity-magazine.com/news/north-korea-exploit-threat-intel/