Last Updated on 2024-09-09 08:13 by admin

北朝鮮関連の脅威アクターが、LinkedInを利用して開発者を標的とした偽求人活動を展開している。この攻撃は、Googleが所有するMandiantの最新レポートによって明らかになった。

攻撃者は、初期のチャット会話の後、Pythonのコーディングチャレンジを装ったCOVERTCATCHマルウェアを含むZIPファイルを送信する。このマルウェアは、Launch AgentsとLaunch Daemonsを介して持続性を確立する第2段階のペイロードをダウンロードすることで、標的のmacOSシステムを侵害する。

この手法は、Operation Dream Job、Contagious Interviewなど、北朝鮮のハッキンググループが行う多くの活動クラスターの一つである。求人関連の手口は、RustBucketやKANDYKORNなどのマルウェアを配布するためにも使用されている。

Mandiantは、有名な暗号通貨取引所の「財務・運営担当副社長」の求人情報を装った悪意のあるPDFを配布するソーシャルエンジニアリングキャンペーンも観察した。

米連邦捜査局（FBI）は、北朝鮮の脅威アクターが暗号通貨業界を標的にしていることについて警告を発している。これらの攻撕は、国際的な制裁下にある北朝鮮の違法な収入源となっている。

攻撃者は、暗号通貨関連企業を特定し、標的に関する詳細な事前調査を行い、個人情報や興味、所属、イベント、個人的な関係、専門的なつながりなどを参照して、標的に合わせた偽のシナリオを作成する。

from:North Korean Threat Actors Deploy COVERTCATCH Malware via LinkedIn Job Scams

【編集部解説】

北朝鮮関連のサイバー攻撃グループによる新たな手口が明らかになり、テクノロジー業界に警鐘を鳴らしています。特に注目すべきは、LinkedInという広く利用されているプロフェッショナル向けSNSを悪用している点です。これは、正当な求人活動と悪意ある攻撃の境界線が曖昧になっていることを示しており、ユーザーの警戒心を高める必要があります。

COVERTCATCHマルウェアの使用は、北朝鮮のハッカーグループの技術的進化を示しています。このマルウェアは、macOSシステムを標的としており、特にWeb3や暗号通貨関連の開発者を狙っています。これは、北朝鮮が暗号通貨を重要な資金源と位置付けていることを裏付けています。

注目すべきは、攻撃者が標的に関する詳細な事前調査を行っている点です。個人情報や興味、所属、イベント、個人的な関係、専門的なつながりなどを参照して、標的に合わせた偽のシナリオを作成しています。これは、ソーシャルエンジニアリング攻撃の高度化を示しており、単純な技術的対策だけでは防ぎきれない状況になっていることを意味します。

この事態は、暗号通貨業界だけでなく、テクノロジー業界全体にとって重大な脅威となっています。特に、新興のWeb3企業や暗号通貨関連のスタートアップは、セキュリティ体制が十分に整っていない可能性があり、攻撃の標的になりやすいと言えるでしょう。

【用語解説】

1. COVERTCATCHマルウェア：
   北朝鮮のハッカーグループが使用する悪意のあるソフトウェアで、macOSシステムを標的としています。まるで猫が獲物を密かに追いかけるように、システムに忍び込み、情報を盗み出す様子から、この名前が付けられたと考えられます。

【参考リンク】

1. Mandiant（外部）:
   サイバーセキュリティ企業で、脅威インテリジェンスや incident response サービスを提供しています。
2. LinkedIn（外部） 
   世界最大のプロフェッショナル向けSNSで、ビジネスネットワーキングや求人情報の共有に利用されています。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

TaTsu

デジタルの窓口　代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com

See Full Bio