北朝鮮のハッカーが偽の就職面接を利用して開発者にクロスプラットフォームマルウェアを感染させる

北朝鮮の脅威アクターは、ソフトウェア開発者をターゲットにする巧妙な方法を発見した。それは、偽の就職面接だ。この陰険な方法は、テクノロジー業界の無防備な求職者を誘い込み、セキュリティとシステムの両方を危険にさらすマルウェアをダウンロードさせるように設計されている。セキュリティ研究者は、CL-STA-0240として追跡され、「伝染性面接」として知られるこのキャンペーンを観察しており、ハッカーは求人プラットフォームで潜在的な雇用主を装っている。

この活動は、パロアルトネットワークスの Unit 42 のレポートを通じて明らかになりました。2023 年 11 月に初めて公開され、サイバー犯罪者が BeaverTail と InvisibleFerret という 2 つのマルウェアファミリーの更新バージョンを使用していることが明らかになりました。

Table of Contents

攻撃の展開

最初の接触は求人検索プラットフォームで発生し、北朝鮮のハッカーはリクルーターを装ってソフトウェア開発者に接触します。彼らはオンラインの就職面接を手配し、合法的な採用プロセスを模倣することで被害者の信頼を得ます。これらのいわゆる面接中に、ハッカーは開発者に、コーディング課題または他の仕事関連の資料であると主張するものをダウンロードするように説得します。被害者は知らないうちに、これらのダウンロードには悪意のあるソフトウェアが含まれています。

感染プロセスは、Windows と macOS の両方のシステムを標的とする情報窃盗マルウェアである BeaverTail ダウンローダーから始まります。BeaverTail は、より危険な第 2 段階のマルウェアである、Python プログラミング言語に基づく InvisibleFerret バックドアへの橋渡しとして機能します。この活動は一般にも知られていますが、最近の報告によると、このキャンペーンの背後にいるハッカーは、開発者を騙して知らないうちに悪意のあるコードを実行させることで、引き続き成功を収めています。

クロスプラットフォームマルウェアは開発者にとって悪夢

パトリック・ウォードルや Group-IB などのサイバーセキュリティ専門家による詳細な分析により、この脅威がいかに広範囲に及ぶかが明らかになりました。これらの攻撃者は、MiroTalk や FreeConference.com のなりすましなど、偽のビデオ会議アプリケーションを使用してシステムに侵入します。これらの偽のアプリケーションは、Windows や macOS を含むさまざまなプラットフォーム間でのクロスコンパイルを可能にする人気のフレームワークである Qt を使用して開発されています。

Qt ベースの BeaverTail は、1 つの機能だけに限定されているわけではありません。ブラウザのパスワードや暗号通貨ウォレットのデータを盗む機能があり、特に危険です。ハッカーが管理するサーバーにデータを流出させ、サイバー犯罪者が機密の個人情報や金融情報にアクセスできるようにします。

BeaverTail は、その役割を終えると、さらに破壊的な活動が可能な InvisibleFerret をインストールします。このマルウェアには、次の 2 つの重要なコンポーネントが含まれています。

リモート制御、キーロギング、感染システムのフィンガープリント、さらにはリモートデスクトップツールのダウンロード用に設計されたメインペイロード。
ユーザー名、パスワード、さらには保存されているクレジットカード情報を含むブラウザの資格情報を抽出するブラウザスティーラー。

攻撃の背後にある金銭的動機

北朝鮮の脅威アクターは長い間、金銭目的のサイバー犯罪に関与しており、こうした不法な利益を政権支援に利用していることが多い。Unit 42 は、このマルウェアが 13 種類の異なる暗号通貨ウォレットから盗み出す能力があることを考慮すると、この特定のキャンペーンにも強い金銭的動機がある可能性があると示唆している。

暗号通貨、ブラウザ認証情報、リモートアクセスなどの貴重な資産を収集できるツールを使用することで、ハッカーは多額の金銭を吸い上げる可能性があります。今回のような金銭目的のサイバー攻撃は、国際的な制裁を逃れ、政府の運営資金を得るための北朝鮮の戦略の要です。

開発者としての自分を守る

偽の就職面接によるサイバー攻撃の増加は、ハッカーが開発者やテクノロジーコミュニティ全体を標的とする手法に憂慮すべき変化が生じていることを示しています。安全を確保するための手順は次のとおりです。

採用担当者を確認する: あなたに連絡してきた採用担当者や雇用主の身元を必ず確認してください。LinkedIn で簡単に検索するか、会社の公式 Web サイトにアクセスするだけで、オファーが本物かどうかを確認できます。
ダウンロードには注意してください: 信頼できないソース、特に確認していないプラットフォームや個人からのファイルは絶対にダウンロードしないでください。
強力なセキュリティ対策を使用する: ウイルス対策ソフトウェアとマルウェア検出ソフトウェアを最新の状態に保ってください。オンラインで未知のエンティティとやり取りする場合は、暗号化された通信とサンドボックスツールの使用を検討してください。
暗号通貨ウォレットを監視する: 暗号通貨に関わっている場合は、特に注意してください。強力なセキュリティ機能を備えたウォレットを使用し、疑わしいアクティビティがないか取引を注意深く監視してください。

結論

北朝鮮のハッカーが偽の就職面接を利用してマルウェアを拡散したことは、サイバー犯罪者がいかに創造的で危険であるかを思い起こさせる恐ろしい事例です。Windows と macOS の両方のプラットフォームを標的とした攻撃により、これらの脅威から完全に安全な人は誰もいません。ハッカーは就職活動を悪用して機密データや金融資産を盗み続けているため、特に開発者は警戒を強める必要があります。情報を入手し、警戒を怠らず、準備を整えることが、この新しいサイバー犯罪の時代に身を守る鍵となります。

Zane

October 9, 2024

Computer Security