北朝鮮のハッカーが、2020年以降、ブラジルを標的にしたフィッシング活動の3分の1を占めている。GoogleのMandiantとThreat Analysis Group (TAG)は、北朝鮮政府支援のアクターがブラジル政府、航空宇宙、技術、金融サービス部門を標的にしていると報告した。特に、暗号通貨とフィンテック企業が注目され、少なくとも3つの北朝鮮グループがブラジルの暗号通貨およびフィンテック企業を標的にしている。
UNC4899(別名Jade Sleet、PUKCHONG、TraderTraitor)と追跡される脅威アクターは、マルウェアを仕込んだトロイの木馬化されたPythonアプリを使って暗号通貨専門家を標的にしている。攻撃手法には、ソーシャルメディアを通じて潜在的な標的に連絡を取り、有名な暗号通貨企業の仮想の求人に関する職務記述が含まれた無害なPDFドキュメントを送信することが含まれる。興味を示した標的に対して、スキルアンケートとGitHubからプロジェクトをダウンロードしてコーディング課題を完了するよう指示する2つ目の無害なPDFドキュメントを送信する。
また、Microsoftは、北朝鮮起源の以前に文書化されていなかった脅威アクター、Moonstone Sleetがソフトウェアと情報技術、教育、防衛産業基盤部門の個人および組織をランサムウェアとスパイ活動の両方で標的にしていると明らかにした。Moonstone Sleetの注目すべき戦術には、npmレジストリに公開された偽のnpmパッケージを通じてマルウェアを配布することが含まれる。
さらに、北朝鮮に関連するKimsukyグループが、北朝鮮の人権活動家を標的にして、インタビュー依頼のふりをして情報窃取マルウェアを配布する新たなソーシャルエンジニアリングキャンペーンを行っていることがGeniansによって発見された。
【ニュース解説】
ブラジルのフィンテック業界が、北朝鮮による高度なフィッシング攻撃の標的になっています。2020年以降、ブラジルで発生したフィッシング活動の約3分の1が、北朝鮮のハッカーグループによるものであることが報告されています。これらの攻撃は、ブラジル政府や航空宇宙、技術、金融サービス部門を含む幅広い分野に及んでいますが、特に暗号通貨とフィンテック企業が重点的に狙われています。
UNC4899というグループは、マルウェアを仕込んだトロイの木馬化されたPythonアプリを使用して暗号通貨専門家を標的にしており、ソーシャルメディアを通じて接触し、仮想の求人情報を提供することで標的の信頼を得ています。この手法は、標的に二段階のPDFドキュメントを送り、最終的には悪意のあるプロジェクトをダウンロードさせることで、攻撃者が制御するドメインから二次ペイロードを取得させることを目的としています。
また、MicrosoftはMoonstone Sleetという新たな北朝鮮の脅威アクターを特定し、このグループがソフトウェア、情報技術、教育、防衛産業基盤部門を標的にしていることを明らかにしました。Moonstone Sleetは、偽のnpmパッケージを通じてマルウェアを配布する戦術を採用しており、これにより開発者が知らず知らずのうちに悪意のあるパッケージをインストールするリスクが高まっています。
さらに、北朝鮮に関連するKimsukyグループが、北朝鮮の人権活動家を標的にした新たなソーシャルエンジニアリングキャンペーンを展開していることが判明しました。このキャンペーンでは、インタビュー依頼を装って情報窃取マルウェアを配布しています。
これらの攻撃は、国際的なサイバーセキュリティの脅威がいかに複雑で多様化しているかを示しています。特に、フィンテック業界や暗号通貨関連の企業は、高度な技術を持つ攻撃者にとって魅力的な標的となっており、これらの企業はセキュリティ対策を強化し、従業員の教育を徹底することが急務です。また、オープンソースリポジトリへの信頼を悪用する攻撃手法は、開発者や企業にとって新たなリスクとなっており、使用するソフトウェアの安全性を常に確認することの重要性を改めて浮き彫りにしています。
from North Korean Hackers Target Brazilian Fintech with Sophisticated Phishing Tactics.
