サイバーセキュリティ研究者のZachXBTは、ドメインluckyguys[.]siteが北朝鮮(DPRK)の詐欺的なIT労働者に関連した暗号通貨支払いと結びついていることを突き止めることで、この調査に火をつけました。
30日間のネットワーク分析中に、IPアドレス163.245.219[.]19に解決されました。ZachXBTは違法な暗号通貨フローを暴露した歴史があり、しばしばFBIやインターポルの捜査を引き起こすため、このセットアップを厳密に検査する必要があります。
これは孤立した事例ではありません。Lazarusのような北朝鮮グループは長い間「IT労働者」の表向きを使って制裁を回避し、社会工学とサイバー作戦を組み合わせてきました。彼らは米国、EU、アジアの企業を標的とし、認証情報を盗んだりデータを流出させたりしながら、給与をミキサー経由で本国に送金します。
IPへのVPNトラフィックは人気のあるものを中心にクラスタ化されました:Astrill VPNが37.5%で支配的、Mullvadが32.25%、Proton VPNが6.25%でした。
AstrillがGitLabインサイダー脅威からFlare.ioレポートまでのDPRKケースで繰り返し登場することは、警鐘を鳴らしています。これらのツールは起源をマスクし、役者が安全な場所から正当なリモートワーカーのふりをすることを可能にします。
ZachXBTの4月8日の投稿後、活動は急落しました。時間グラフは古典的なopsecの転換を示しています:放棄と回転。米国とラトビアの住宅用IPも接続されました。おそらく危険にさらされたホームの「ラップトップファーム」です。Netflowは彼らの習慣を分析しました:Astrillログイン、Gmailの急増、ChatGPTセッション、およびWorkanaPings。
Group-IBは、DPRK開発者がChatGPTのようなAIツールをコード生成、面接準備、英語の洗練に活用する方法を詳しく説明しました。
ラテンアメリカの仕事で人気のあるWorkanaがベクトルとして浮上しました。Nisosはそこで詐欺的なポートフォリオを持つDPRKプロファイルを追跡しました:盗まれたGitHubリポジトリ、時給20~50ドルで契約を獲得しました。一度入ると、彼らはマルウェアの展開またはデータ盗難にピボットします。
X509証明書の検索は追加のIP 216.158.225[.]144を明らかにしました。新たに公開され、シャットダウンパターンと同期しました。両方のIPはプロキシの雰囲気を共有し、DPRK資金洗浄ネットで使用されるProxylineレンタルを反映しています。
MandiantのRuby Tuesdayハッキングに関する2023年のレポートは、フリーランス浸透の同様の事例を引用しました。ClearedHacksフォーラムではDPRK CVの販売で話題になっており、実在する開発者から磨かれたレジュメが1つあたり500ドルで転売されています。
翻訳元: https://cyberpress.org/north-korean-it-infiltration-scam/