TokyoBlackHatNews

silentpush.com 5分で読了

北朝鮮(DPRK)リモートワーカー問題の実態解明

北朝鮮のリモートワーカープログラムは、北朝鮮政権の高額収益源として機能しています。これらの国家支援を受けた工作員は、盗まれた身元を使用して西側企業内でリモート職を確保します。彼らは最初の会議の前に、企業インフラ内に長期的な継続性を確立します。これらの者は、国内従業員の行動、位置情報、ハードウェアシグネチャを模倣することにより、標準的なIAMおよびEDRを回避します。

リモートオンボーディングの兵器化

司法省およびFBIが北朝鮮のIT労働者に関する緊急警告を発表しています。これらの工作員は、精巧なアイデンティティー窃盗を使用して、西側企業で高給のリモート職を確保します。

これらの偽のIT労働者は、以下の目的で使用される戦略資産です:

  • 禁止武器プログラムのための追跡不可能な収益を生成する。
  • 機密コードベースへの管理アクセス権を取得する。
  • 企業インフラ内に「ランドオフザランド」の継続性を確立する。
Image
「見えない内部者」スキーム:北朝鮮の偽のIT労働者がいかに既存のセキュリティ管理を回避しているか

北朝鮮の「見えない内部者」の2つのバリエーション

最近の研究に基づくと、北朝鮮は通常、この浸透の2つの異なるバリエーションを利用しています:

  • バリエーション1:長期的な潜入者:これは給与を得るか管理アクセス権を得るために正当な職を確保するIT労働者です。彼らは数ヶ月間マルウェアを拡散せずに仕事を遂行する可能性があり、代わりに収益生成と企業インフラ内の長期的な継続性の確立に焦点を当てています。
  • バリエーション2:フロント企業の罠:政権は、高価値の標的を面接に引き込むために実在するソフトウェア企業を模倣する偽のフロント企業を作成します。これらの面接にはスキル評価が含まれており、最終的に被害者が悪意のあるコードを実行することになります。これにより会社全体が侵害のリスクにさらされ、標準的な採用相互作用が計算された欺瞞を通じた体系的な脅威に変わります。

申請者は、まだ雇用されている間に頻繁に新しい機会を求めます。アナリストチームは、候補者が職探しの活動に企業デバイスを使用することにより、無意識のうちに現在の雇用主のセキュリティを侵害し、マルウェア感染につながるケースを観察しています。

身元確認の罠

従来のセキュリティスタックは、認証情報に基づいて人物が誰であるかを確認します。ワーカーが有効な社会保障番号を提供し、第三者の身元調査に合格し、AI駆動のディープフェイクフィルターを使用してビデオインタビューをクリアした場合、彼らはシステムに侵入します。

Image
疑わしい偽の人格:Mehmet Demir hxxps://linkedin[.]com/in/mehmet-demir-godev バックエンドデベロッパー | Golang、Python

オンボーディング後、ログには「ローカル」従業員が表示されます。彼らは西側の住宅用IPアドレスを使用して、郊外の住宅から働いているように見せかけます。

地理的確実性が薄れている理由

セキュリティチームは、疑わしいログインにフラグを付けるためにIP地理情報に依存することが多いです。ジオフェンシングは多くの低レベルの試みをキャッチしますが、公開は北朝鮮が現在利用している特定のIPまたはプロバイダーについてはしばしば気付いていません。我々の研究を通じて、これらの国家支援を受けた者が隠れるために使用する新しいIPと新しいVPNまたはプロキシプロバイダーを絶えず発見しています。

高度なジオフェンシングを破るため、北朝鮮は多層プロキシチェーンを利用しています。トラフィックを国内「ホップ」(つまり、米国内の物理的なラップトップ)を通じてルーティングすることにより、ワーカーは単純なジオフェンシングを回避します。SIEMにとって、トラフィックは標準的なリモート従業員と同じに見えます。

これにより3つの重大な可視性ギャップが生じます:

  1. 住宅用IPの誤謬:トラフィックがデータセンターではなくComcastやAT&Tのような標準ISPから発信されるため、トラフィックを信頼します。
  2. 身元調査のギャップ:プロバイダーはキーボード操作を行う人物ではなく、盗まれた身元を確認します。
  3. ハードウェア認証の罠:仮想マシンを使用するボットネットとは異なり、これらの「ラップトップファーム」は実際のハードウェアを使用します。MACアドレスチェックとデバイスポスチャアセスメントに合格します。

「悪い雇用」のコスト

給与台帳に北朝鮮工作員がいることが発見されると、単なる解雇以上の対応が必要になります:

制裁リスク あなたの会社が制裁された政権に無意識のうちに資金を提供したことで、OFAC規制違反の可能性があります。
知的財産損失 国家支援を受けた者が逮捕される時点では、独自コードまたは顧客データがすでに流出している可能性があります。
インシデント対応の疲弊 国家支援を受けた者が残したバックドアをクリーンアップするには、インフラ全体の監査が必要です。

採用境界線を保護する

国家支援を受けた者が盗まれた身元と偽った位置情報を使用する場合、身元調査だけでは組織を保護するには十分ではありません。リモート従業員が主張する場所に物理的に位置していることを確認する必要があります。

Silent Pushトラフィックオリジンは、これらの工作員が真の位置情報を隠すために使用する欺瞞的なネットワークパスを明らかにします。国家支援を受けたグループが従来のジオフェンシングを回避するために使用する住宅用プロキシと疑わしい接続パターンを特定するのに役立ちます。これにより、新規採用者に機密システムへのアクセスを許可する前に、高リスクインフラストラクチャを特定できます。

翻訳元: https://www.silentpush.com/blog/unmasking-the-dprk-remote-worker-problem/?utm_source=rss&utm_medium=rss&utm_campaign=unmasking-the-dprk-remote-worker-problem

ソース: silentpush.com
#IAM脆弱性 #OFAC制裁 #ディープフェイク #プロキシ悪用 #企業スパイ活動 #北朝鮮サイバー脅威 #採用プロセス詐欺 #知的財産盗難 #身元詐称 #遠隔勤務セキュリティ

関連記事

DriveSurgeを紹介します:数千の侵害されたサイトでClickFixと偽アップデートによるドライブバイ攻撃を使用する新たな脅威アクター

Silent Push コンテキストグラフが示した5つのこと

完全なインシデント対応とは実際どのようなものか