北朝鮮の脅威アクターは、国際的な制裁を回避し、収益を生成するために偽造IT労働者のペルソナを使用して、世界的な組織に潜入するために欺瞞的なリモートワーク計画を再度活用しています。
暗号通貨セキュリティ研究者ZachXBTによってトリガーされた最近の調査は、この進化するキャンペーンの背後にあるインフラストラクチャとタクティクスに光を当てています。
ZachXBTは、ドメインluckyguys[.]siteがDPRK関連の偽造IT労働者にリンクされた疑わしい支払い活動に関連していることを特定しました。
分析中、ドメインはIPアドレス163.245.219[.]19に解決されました。研究者はこのインフラストラクチャに関連する30日間のネットワークトラフィックを調査し、以前に文書化された北朝鮮の操作と一致するパターンを発見しました。
識別されたIPへのVPN接続の分析により、非常に集中した使用パターンが示されました。Astrill VPNは接続の37.5%を占めており、その次がMullvadの32.25%、Proton VPNの6.25%です。
Astrill VPNへの重い依存は特に注目に値します。GitLabとFlare.ioによる以前の調査は、それをDPRK IT労働者の活動にリンクしています。
トラフィックパターンはまた、4月8日の公開開示直後の接続の急激な減少を明らかにしました。この動作は、インフラストラクチャが一度露出すると迅速に放棄される既知の脅威アクターのタクティクスと一致しています。
居住用IPとクラウドサービスアクティビティ
調査は、インフラストラクチャと通信している米国とラトビアからの居住用IPアドレスを特定しました。正当であるように見えるにもかかわらず、これらのIPは疑わしい動作を示しました。
NetFlowデータは以下を示しました:
- Astrill VPNの頻繁な使用。
- Gmail、ChatGPT、Workanaなどのクラウドプラットフォームへの接続。
ChatGPTの使用はGroup-IBからの調査結果と一致しており、DPRK関連のオペレーターがコーディング、タスク自動化、通信にAIツールにますます依存していることが報告されています。
グローバルフリーランスマーケットプレイスであるWorkanaは、ネットワークアクティビティで顕著に現れました。リモートITタレントに焦点を当てており、開発者またはエンジニアのふりをして脅威アクターにとって魅力的なプラットフォームになっています。
Nisosからの以前の研究は、DPRK工作員が虚偽の身元で雇用を確保するためにフリーランスプラットフォーム上に偽造プロフィールを作成する同様のタクティクスを文書化しています。
一度採用されると、彼らは内部システムにアクセスしたり、データを流出させたり、収益を制裁を受けた団体に流すことができます。
追加インフラストラクチャが発見されました
luckyguys[.]siteにリンクされたX509証明書のさらなる分析は、別のIPアドレス216.158.225[.]144を明らかにしました。
プライマリIPと同様に、このインフラストラクチャはZachXBTの公開報告書に続く活動の大幅な低下を示し、帰属後の迅速な放棄のパターンを強化しています。
結合された証拠は、リモートIT労働者またはファシリテーターを含む協調的で分散した操作を示唆しています。指標は、ホームベースのシステムまたは「ラップトップファーム」の使用を指しており、スケーラブルで低コストの操作を可能にしています。
組織は以下のリスクを考慮する必要があります:
- 居住用IPはプロキシまたはロンダリングネットワークの一部である可能性があり、本質的に信頼されるべきではありません。
- VPN使用、特に以前のDPRKアクティビティにリンクされたプロバイダーを含む場合、警告信号として扱われるべきです。
- フリーランス採用パイプラインは、潜入の重大な攻撃面を提供します。
- 行動監視は重要です。従来のインジケーターは十分ではない可能性があるためです。
セキュリティチームは、企業デバイスから発信するトラフィックを含む、163.245.219[.]19および216.158.225[.]144への接続のネットワークログを監査することをお勧めします。
プロキシホスティング動作を示す居住用IPには特に注意が必要です。これらは共有悪質インフラストラクチャをサポートする可能性があります。
このキャンペーンは、北朝鮮のサイバー操作の増加する高度性を強調し、社会工学、リモートワーク搾取、および匿名化技術をブレンドして、違法な収益ストリームを維持しながら検出を回避しています。
翻訳元: https://gbhackers.com/north-korean-fake-it-workers/
