大手企業の採用担当者などになりすまし、SNSを使ってターゲットに接近した後、マルウェアをコンピューターに仕掛けて情報を窃取したり金銭を詐取するなどの犯罪行為が海外で継続的に行われています。サイバーセキュリティの専門家たちは、背景に北朝鮮のハッカーグループがあると指摘しています。
Skypeで面談、偽の求人フォームをインストール
Redbancは南米・チリのすべての銀行ATMを接続する銀行間ネットワークを担っている企業です。このRedbancがサイバー攻撃を受けていたことが2019年1月に明るみに出ました。チリの上院議員がツイッターで明かし、Redbancもそれを認めたのです。しかし、サイバー攻撃についてRedbancは業務に影響はなく、サービスも正常に機能していると述べるにとどまり詳細な実態を明らかにしませんでした。
その後、サイバー脅威インテリジェンスを手がけるFLASHPOINTがレポートを発表し、Redbancの1人の従業員のコンピューターがマルウェアに感染したことがわかりました。この従業員はITの開発者で、ビジネス特化型SNSのLinkedInを通じて別会社のIT開発者の募集広告に応じました。しかし、それは実はサイバー攻撃者の偽装広告だったのです。標的にされた従業員はだまされていることに気づかずSkypeで面談を受け、面談中に相手から誘導されるまま偽の求人フォームのファイルをダウンロード、自身のコンピューターにインストールして実行したということです。FLASHPOINTの調査によると、その従業員のコンピューターはPowerRatankbaに感染、PowerRatankbaは北朝鮮と関わりがあるとされるハッカーグループ、Lazarusに関係するマルウェアだということです。この事件が注目されたのは、南米で金融機関や金融システムを狙った大掛かりなサイバー攻撃が相次いでいる背景があり、RedbancがATMに接続する銀行間ネットワークを運営している会社だったからです。
報告書「Operration ‘Dream Job’」
脅威インテリジェンスなどのサイバーソリューションを手がけるClearSkyは今年8月、「Operration ‘Dream Job’」という報告書を発表しました。夢の仕事作戦とでも訳すこのオペレーションは、ClearSkyによるとソーシャルエンジニアリングを駆使したもので、Lazarusによって行われている攻撃だということです。その内容は、ボーイングやロッキード・マーティンなどアメリカの主要な航空、防衛産業の求人担当者のアカウントに見せかけた架空のLinkedInアカウントを作成し、そのアカウントに求人企業の従業員らのLinkedInアカウントを友達として追加することでさらにそれらしく作り込んだうえで、請負企業の従業員らのLinkedInアカウントに接触、引き抜きをほのめかして関心を引きつけ、WhatsAppを介した電話やメールのやりとりで信頼を得た後、相手に自身の職場のコンピューターでファイルをダウンロードさせてマルウェアに感染させるという手の込んだものです。
その主要な目的は情報窃取にあると見られていますが、Lazarusなどの北朝鮮ハッカーによるサイバー攻撃は情報窃取と金銭詐取という2つの目的を兼ねていることが多いということです。ClearSkyは、夢の仕事作戦がLazarusの2020年の主要なキャンペーンとの見方をしています。米国土安全保障省のCISAとFBI(連邦捜査局)は今年8月19日、リリースを発表しマルウェアBLINDINGCANの詳細を明らかにしました。CISAによると、このマルウェアは北朝鮮のハッカーによって使用されているトロイの木馬型のマルウエアで、アメリカ政府から仕事を請け負っている企業の軍事やエネルギーに関する情報収集を目的に、それら企業の請負企業の従業員らに求人情報を「餌」に接触、不正なファイルをインストールさせてコンピューターに感染させていたものです。
ClearSkyは、防御策として、職務記述を含むドキュメントの受信や送信を避ける、LinkedInを使用する時は信頼のあるアカウントかどうかプロフィールなどをよく確認し、アカウントの人物が実際にその会社で働いているのか確認するなど十分に注意をすること、個人情報の安易な提供を避ける、EDRソフトをインストールして他のファイルからのLNKおよびDLLファイルのアンロードを監視し、さらにマシンに保存されているDLLファイルを監視して、DLLインジェクション攻撃を防止する―などの対応を示しています。
【出典・参考】
https://www.flashpoint-intel.com/blog/disclosure-chilean-redbanc-intrusion-lazarus-ties/
https://www.clearskysec.com/operation-dream-job/
https://us-cert.cisa.gov/ncas/current-activity/2020/08/19/north-korean-malicious-cyber-activity