DeceptiveDevelopmentキャンペーンの背後にいる北朝鮮の脅威アクターが、盗まれた開発者情報を同国の詐欺的なIT労働者集団に提供しているとESETが報告しています。
2月に初めて詳細が明らかにされましたが、少なくとも2023年から継続しているDeceptiveDevelopmentキャンペーンは、暗号通貨や分散型金融プロジェクトに関わる開発者を標的に、情報窃取やマルウェア感染を目的とした偽の求人を仕掛けています。
Operation Dream Job、Contagious Interview、ClickFake Interviewと同様に、DeceptiveDevelopmentはLinkedIn、Upwork、Freelancer.comなどの人気プラットフォームで偽の求人情報を掲載し、開発者を誘い込んでいます。
これらの攻撃の一環として、被害者が偽リクルーターと接触した後、面接に招待され、その際にマルウェアを実行するように騙されます。
これらの攻撃の多くは暗号通貨開発者を標的としており、過去の調査では、被害者の暗号資産の窃取や、被害者が所属する組織への侵入による金銭的利益が目的であると考えられていました。
ESETによると、これらのキャンペーンには第二の目的もあります。偽リクルーターが開発者の身元情報を収集し、北朝鮮の詐欺的なIT労働者と関連するグループに渡しており、これらのグループはその情報を使って求職者になりすまし、無防備な企業でリモートワークの職を得ています。
「実際の職を得るために、彼らはいくつかの戦術を用いることがあり、代理面接、盗んだ身分の利用、AI駆動ツールによる合成身分の作成などが含まれます」とESETは指摘しています。
ソーシャルエンジニアリングや偽リクルーターのプロフィールを使い、DeceptiveDevelopmentの脅威アクターは、BeaverTail、InvisibleFerret、OtterCookieなどのマルウェアで被害者のシステムを感染させることを目的とした、魅力的な偽求人を提供しています。
広告。スクロールして続きをお読みください。
昨年、攻撃者はWeaselStore(GolangGhostやFlexibleFerretとも呼ばれる情報窃取型バックドア)、そのPython版であるPylangGhost、そして暗号通貨マイナーも投下する複雑な.NETスパイウェアTsunamiKitを使用しているのが確認されました。
今年4月には、LazarusのPostNapTea RATと大きなコードの共通点を持つTropidoorが展開されているのが確認されました。8月には、Akdoorの亜種であるAkdoorTeaが確認されました。
ESETによるDeceptiveDevelopmentの調査では、サイバーセキュリティ企業がWageMoleとして追跡している、北朝鮮の詐欺的なIT労働者ネットワークとの緊密な連携が明らかになりました。
「これらの活動は2つの異なるグループによって実行されていますが、ほぼ確実に相互に関連し、協力していると考えられます」とサイバーセキュリティ企業は調査報告書(PDF)で述べています。
チームで活動するIT労働者たちは、主に米国など西側諸国での仕事獲得に注力しています。ヨーロッパでは、フランス、ポーランド、ウクライナ、アルバニアが標的となっています。
「各チームには専任の『ボス』が存在し、チームの運営を監督し、メンバーにノルマを課し、業務を調整しています。メンバーの主な責任は、仕事の獲得、業務の遂行、スキル向上のための自己学習です」とESETは指摘しています。
北朝鮮のIT労働者は、プログラミング職の獲得だけに注力しているわけではないとサイバーセキュリティ企業は述べています。中には土木工学や建築分野にも進出し、実在する企業や技術者になりすまして、偽の承認印が押された設計図を作成する者もいます。
「彼らは自己学習にも注力しており、主にウェブプログラミング、ブロックチェーン、英語、そして近年ではAIの各種ウェブアプリケーションへの統合に関する、無料で公開されているオンライン教材やチュートリアルサイトを利用して学習していると報告しています」とESETは述べています。
関連記事: 米国、北朝鮮IT労働者を支援するロシア人と中国企業に制裁
関連記事: RaccoonO365フィッシングサービスが妨害され、リーダーが特定される
関連記事: OODAループを活用したシャドーAI問題への対応
翻訳元: https://www.securityweek.com/north-koreas-fake-recruiters-feed-stolen-data-to-it-workers/
