グローバルなリモート・ハイブリッドワークへのシフトにより、サイバー犯罪者に莫大な機会が生まれました。
マイクロソフトによると、北朝鮮と関連のある脅威アクターであり、以前はStorm-0287として追跡されていたJasper Sleetは、正当なITプロフェッショナルに成りすまして、このトレンドを悪用しています。
盗難身分、捏造されたデジタルペルソナ、および高度な人工知能を使用して、これらの攻撃者は標準的な採用プロセスを通じて企業ネットワークに侵入します。
採用されると、彼らは信頼できるアクセス権を使用して、機密データを盗んだり、攻撃を仕掛けたり、北朝鮮国家のために違法な収入を生成したりします。
このタクティックは、攻撃者がファイアウォールをハッキングするのではなく、検証済みの従業員としてログインするため、従来のセキュリティ管理をバイパスします。
Jasper Sleetの活動は非常に組織的であり、標準的な人事(HR)ソフトウェア、特にWorkdayのような広く普及したクラウドプラットフォームの悪用に大きく依存しています。攻撃は通常、採用前、面接、オンボーディング後の3つの異なるフェーズで展開されます。
採用前フェーズでは、攻撃者は外部企業のキャリアサイトをスキャンして、アクティブな技術職の求人を見つけます。
彼らはHR APIに対してプログラム的にアクセスし、特に採用ウェブエンドポイントから職務詳細、必要なスキル、および認定期待を抽出します。
生成AIを使用して、ハッカーはこれらの求人を分析して、説得力の高い、カスタマイズされた履歴書を構築します。
彼らはさまざまな偽のアカウントを使用して、複数の申請を提出します。これらのアカウントは、同じ悪意のあるインフラストラクチャから発生することが多く、セキュリティチームが識別できるAPI呼び出しの一貫した繰り返しパターンを作成します。
次に採用フェーズが来ます。偽の応募者は、Microsoft Teams、Zoom、またはCisco Webexなどの標準ツールを使用して採用マネージャーと通信します。
面接中の視覚および音声検証チェックをバイパスするために、攻撃者はAI駆動の音声変更ソフトウェアと変更された写真を使用します。
また、DocuSignのような電子署名プラットフォームを使用して、オファーレターと雇用契約を完成させます。
このプロセス全体を通じて、攻撃者は通常、インターネットトラフィックを仮想プライベートネットワーク(VPN)またはプロキシサーバーを介してルーティングして、実際の地理的位置を隠し、地元の候補者のように見えます。
偽の従業員に対する防御には、厳格なHRポリシーと高度なクラウドセキュリティ監視の組み合わせが必要です。
これらの脅威アクターは従来のマルウェアを使用してシステムに侵入しないため、企業はウイルススキャンだけでなく、行動異常に焦点を当てる必要があります。
マイクロソフトはこれらの北朝鮮のITワーカーによって作成された既知のコンシューマーアカウントを既に数千件停止していますが、組織は警戒を続ける必要があります。
また、組織は面接プロセス中に通信ログを追跡し、既知の悪意のあるネットワークからのメールアドレスまたはビデオ通話を探す必要があります。
翻訳元: https://cyberpress.org/jasper-sleet-fakes-it/
