SentinelOneとValidinの報告によると、今年初めに少なくとも230人が北朝鮮のハッカーによる偽の暗号通貨関連の就職面接攻撃の標的となりました。
2022年に始まったContagious Interviewキャンペーンの継続として、2025年初頭にはClickFix手法が使われていることが確認され、脅威アクターはリクルーターを装い、被害者を暗号通貨関連の偽の面接に招待しています。
攻撃者は数十の偽ウェブサイトを作成し、数多くの中央集権型および分散型金融機関になりすまして、何百通もの面接招待を無警戒な被害者に送信しました。脅威検知・対応企業のSekoiaは184種類の招待状を回収しました。
やり取りの後、応募者は攻撃者が管理するウェブサイトに誘導され、スキル評価の実施を求められます。
しかし、そのウェブサイトは被害者のシステムにマルウェアを感染させるために設計されており、ClickFix手法を利用しています。偽のエラーメッセージが表示され、被害者にコマンドラインウィンドウでコマンドをコピー&ペーストするよう指示します。
SentinelOneのSentinelLabsによると、2025年1月から3月の間に少なくとも230人がこのような攻撃の標的となっており、実際の被害者数はさらに多い可能性があると推定しています。
攻撃者はArchblock、Robinhood、eToroなどの企業になりすまし、ポートフォリオマネージャー、投資マネージャー、シニアプロダクトマネージャーなどの職種を餌に使用しました。主に暗号通貨やブロックチェーン技術に関わる人々が標的となっています。
3月以降、SentinelLabsとインターネットインテリジェンスプラットフォームのValidinは、脅威アクターが自らのインフラに関するサイバー脅威インテリジェンスデータを調査し、検知を回避するために最小限の変更を加えていることを観測しました。
広告。スクロールして続きをお読みください。
「Contagious Interviewの脅威アクターが協調的な活動を行い、インフラに関連する脅威インテリジェンスを調査し、検知の兆候を監視するためにチームで活動していたとみられます。Validin、VirusTotal、Maltrailなど、複数のインジケーター・オブ・コンプロマイズ(IOC)リポジトリやCTIプラットフォームを利用していたことが示唆されています」とSentinelLabsは述べています。
ハッカーたちは調査のためにSlackを使っていた可能性が高いです。新たなインフラを取得する前に評価している様子が確認されましたが、既存のインフラには大規模な変更を加えていませんでした。これは内部要因によるものと考えられます。
しかし、偽の就職面接は、北朝鮮のハッカーが分散型金融業界を標的とするソーシャルエンジニアリングの唯一の手法ではありません。
NCC Groupが詳細を明らかにした攻撃では、ハッカーがTelegram上で投資機関の従業員になりすまし、Chromeのゼロデイ脆弱性を悪用して、従業員のデバイスを感染させた後にDeFi組織のネットワークへの持続的なアクセスを獲得したとみられます。
NCC Groupは侵入に使用された複数のツールを特定しています。これには定期的なスクリーンショット取得ツール、キーロガー、Chromiumブラウザダンパー、MidProxyプロキシツール、Mimikatz、Proxy Mini、Fast Reverse Proxyクライアントなどが含まれます。
さらに、ハッカーはPondRATやThemeForestRATのバックドアを展開してネットワークへの持続的なリモートアクセスを確保しましたが、数か月後にはより高度なRATであるRemotePEに置き換えました。
関連記事: 北朝鮮ハッカー、Zoom会議を利用して被害者のシステムを乗っ取る
関連記事: 北朝鮮ハッカー、macOSユーザーを標的に
翻訳元: https://www.securityweek.com/north-korean-hackers-targeted-hundreds-in-fake-job-interview-attacks/
