2025年6月、サイバーセキュリティ企業Nisosは、北朝鮮の疑いがある情報技術労働者が同社への侵入を試みた際に、洗練された雇用詐欺スキームを発見した。
当該者は、フロリダ州の実在する住民の盗まれたアイデンティティを使用して、リモート型「リード人工知能アーキテクト」職の職位に応募した。
オープンソース・インテリジェンスおよび的を絞ったインタビュー質問を通じて、調査官は盗まれた個人情報、人工知能、および物理的ラップトップファームを含む複雑なネットワークを明らかにした。
脅威アクターは、盗まれた個人情報の組み合わせを使用して、正当なアメリカ人申請者に見せかけた。
これには、新しく作成されたメールアドレスとボイスオーバーインターネットプロトコル電話番号が含まれていた。詐欺師は、盗まれたアイデンティティの地域コードと一致させるためにインターネット電話番号をよく使用する。
身元調査の際、調査官はオンライン上で同じ名前を使用する3つの異なるレジュメプロフィールを見つけた。
しかし、これらのプロフィールには、フロリダアトランティック大学またはフロリダ大学のいずれかに参加すること、ならびに異なる過去の雇用者など、矛盾した詳細がリストされていた。
脅威をさらに調査するために、同社は当該者が提供した住所に企業用ラップトップを送付した。
この住所は盗まれたアイデンティティの実際の家とは異なり、労働力詐欺の一般的な指標である。位置情報追跡とラップトップの組み込みカメラから撮影された写真により、それが多くの他のコンピュータと一緒にクローゼット内に配置されていたことが明らかになった。
このセットアップは「ラップトップファーム」として知られており、通常、外国の労働者が企業の位置チェックを回避するのを支援するために、米国内の協力的な参加者によってホストされている。
ファームの技術分析により、高度なリモートアクセス方法が明らかになった。オペレーティブはAstrill仮想プライベートネットワークを使用して真の位置をマスクし、北朝鮮のサイバー活動に以前リンクされた特定のIPアドレスを通じて接続した。
さらに重要なことに、オペレーティブはPiKVMデバイスを使用してマシンを制御した。PiKVMはコンピュータに完全なリモートキーボード、ビデオ、およびマウス制御を提供するハードウェアツールである。
オペレーティングシステムが起動する前に独立して動作し接続するため、脅威アクターは標準的な企業セキュリティソフトウェアまたはエンドポイント検出システムをトリガーすることなくステルスアクセスを維持できる。
さらに、侵害されたネットワークはTailscaleを使用してリンクされていた。Tailscaleはメッシュ仮想プライベートネットワークサービスである。
このhubspotusercontent有効化により、北朝鮮のオペレーティブは複数のデバイス全体で安全な暗号化された接続を確立して、リモートコマンド実行とデータ盗難を実行することができた。
調査官はファームで実行されている約40台のデバイスを発見し、各マシンはさまざまな偽の従業員名を使用して異なる企業ネットワークにログインしていた。
企業は、これらの詐欺スキームにリンクされた個人を雇用することは、組織に深刻なデータ漏洩、規制罰金、および顧客信頼の喪失をもたらす可能性があることを認識する必要がある。
成功した軽減策には、リモート候補者の改善された身元調査プロセスと、内部脅威を迅速に特定するためのインテリジェンス企業との提携が必要である。
翻訳元: https://cyberpress.org/north-korean-job-scam/