北朝鮮のハッカー集団「ラザルス」のサブグループが、米国内を含む複数の地域で3つのダミー企業を設立し、無防備なユーザーにマルウェアを送りつけていたことが判明した。
サイレントプッシュが4月24日に発表したレポートによると、この攻撃を行っていたのは「コンテージャス・インタビュー」と呼ばれるグループで、仮想通貨関連のコンサルティング企業を偽装した「ブロックノバス」、「アンジェロパー・エージェンシー」、「ソフトグライド」の3社を利用してマルウェアを配布していたという。
サイレントプッシュのシニア脅威アナリストであるザック・エドワーズ氏は、これらのうち2社は米国内で合法的な事業者として登録されているとXで明かした。
「これらのウェブサイトと、採用・求人系サイトに展開された広範なアカウント群が連携し、人々を偽の求人応募へと誘導している」とエドワーズ氏は述べた。
「応募者が自己紹介動画を録画しようとした際にエラーメッセージが表示され、クリックとコピー&ペーストで簡単に解決できるように見せかけて、実際にはマルウェアがインストールされる仕組みになっている」。
サイレントプッシュによれば、この攻撃には「ビーバー・テイル」、「インビジブル・フェレット」、「オッター・クッキー」の3種類のマルウェアが使用されている。
ビーバー・テイルは情報の窃取とさらなるマルウェアの読み込みを目的としたもの。オッター・クッキーおよびインビジブル・フェレットは、仮想通貨ウォレットの秘密鍵やクリップボードの内容など、機密性の高いデータを狙っている。
レポートによると、ハッカーはGitHubや求人サイト、フリーランス向けプラットフォームを通じてターゲットを物色しているという。
AI生成の偽社員で企業サイトを構築
今回の詐欺には、AIで生成した人物画像を使った偽社員のプロフィール作成や、実在人物の画像の盗用も含まれていた。
「このネットワークでは、大量の偽社員や実在人物の盗用画像が使われており、その一部はすでに確認・記録している」とエドワーズ氏は指摘。「ただし今回のなりすまし手法は従来とは異なる点がある」とも付け加えた。
たとえば、実在人物の写真をAIの画像修正ツールにかけ、元画像と微妙に異なるバージョンを作成して使用するという手口が確認されている。
このマルウェアキャンペーンは2024年から続いており、すでに複数の被害者が発生している。サイレントプッシュによれば、2人の開発者が標的となり、そのうちの1人はMetaMaskウォレットが攻撃されたという。
一部のインフラは現在も稼働中
米連邦捜査局(FBI)は、詐欺企業の1つであるブロックノバスのドメインを押収したが、ソフトグライドをはじめとするほかのインフラは依然として稼働中であると、エドワーズ氏は警告している。
さらに、3月には少なくとも3人の仮想通貨起業家が、偽Zoom面接を通じて北朝鮮のハッカーとみられる人物から機密情報を奪われそうになったと報告している。
ラザルスをはじめとする北朝鮮系のグループは、Web3業界における最大規模のサイバー窃盗事件の首謀者と目されており、バイビットの14億ドル規模のハッキングや、ローニンネットワークで発生した6億ドルの流出事件にも関与しているとされている。
bitbankで新規口座開設後、1万円の入金でもれなく現金1,000円プレゼント!【PR】
