北朝鮮のハッカーが主導する「伝染面接」と呼ばれる大規模なサイバーセキュリティキャンペーンは、偽の求人を通じてIT専門家や機密分野をターゲットにしている。
NTT セキュリティ ジャパンの研究者は最近、新しい Lazarus マルウェア キャンペーンを発見しました。このキャンペーンは現在、新しいマルウェアの亜種で拡大しています。北朝鮮政府とのつながりで知られるこのグループは、2022年からこの作戦を組織している。彼らの手法は、専門的なソーシャルネットワーク上に偽のプロフィールを作成し、魅力的な仕事の機会を提供することで構成されている。主に防衛、航空宇宙、暗号通貨の分野です。
このキャンペーンの最新の進化では、「OtterCookie」と呼ばれる新しいマルウェアが導入されています。この悪意のあるツールの機能は次のとおりです。システム情報を収集する、 の機密データ(特に暗号ウォレットのキー)を盗む被害者のクリップボードに保存されている情報をキャプチャします。
こちらもお読みください–これらの有名な北朝鮮のハッカーは、偽の仮想通貨ゲームを介して Chrome の脆弱性を悪用します
ラザロは戻ってきて、すでに新たな犠牲者を見つけている
同時に、カスペルスキーは、「CookieTime」と「CookiePlus」という他の 2 つの亜種を特定しました。 CookieTime は、攻撃者がリモートからコマンドを実行できるようにするバックドアとして機能しますが、新しい CookiePlus は追加のマルウェアをダウンロードするためのモジュラー システムとして機能します。
研究者らは、このキャンペーンがすでにかなりの被害を引き起こしていると指摘している。Lazarus グループは、2022 年に仮想通貨会社から約 6 億ドルを盗むことに特に成功しました。
その手口は非常に洗練されており、犯罪者は LinkedIn または X (旧 Twitter) 経由で接触を開始し、その後数回の面接を計画します。これらの交換中に、マルウェアを直接インストールすることによって被害者のシステムに感染しようとします。または侵害されたリモート アクセス ツールによって。
サイバーセキュリティの専門家は、特にデリケートな分野において、一方的な求人に対する警戒を強化することを推奨しています。することをお勧めします採用担当者の信憑性を慎重に確認するそして採用プロセス中に未確認のソースからファイルをダウンロードすることを避ける。この悪意のあるキャンペーンはすでに 3 年間続くため、この記事の執筆時点で多くの被害者が発生する可能性があります。
