Microsoftは米国時間9月29日、オープンソースソフトウェアと偽のソーシャルメディアアカウントを用いるハッカーらが、架空の求人情報でソフトウェアエンジニアやITサポート担当者らをだまし、マルウェアによる攻撃を実行していると警告した。
提供:Natee Meepian / Shutterstock
同社のAPT(高度標的型攻撃)リサーチグループの脅威アナリストらによると、このフィッシング攻撃を仕掛けている、北朝鮮の軍部に関連があるとされるハッキンググループは、トロイの木馬化したオープンソースアプリと「LinkedIn」上でのおとり求人によって、テクノロジー業界の従業員らを標的にしているという。
Microsoft Threat Intelligence Center(MSTIC、「ミスティック」と読む)が同社ブログに記したところによると、このハッキンググループは「PuTTY」や「KiTTY」「TightVNC」「Sumatra PDF Reader」「muPDF/Subliminal Recording」といったソフトウェアのインストーラーを用いており、攻撃は4月下旬から確認されていたという。
また、このハッキンググループは米国や英国、インド、ロシアのメディアや防衛・航空宇宙産業、ITサービスに携わる従業員を標的にしてきており、2014年のソニー・ピクチャーズエンタテインメントに対する大規模な攻撃の背後にいたとされている。
Google傘下のMandiantの脅威アナリストらが確認したところによると、Lazarusという名前でも呼ばれているこのハッキンググループ(MicrosoftはZINCという名前で追跡している)は、7月に「WhatsApp」を使用して偽の求人情報を提示し、トロイの木馬化したPuTTYのインスタンスを共有することで、メディア業界を標的にしたスピアフィッシング攻撃を実行していることを確認したという。
同グループは、諜報活動やデータ窃取、仮想通貨(暗号資産)取引所や銀行システムに対するハッキング、ネットワークの破壊といった行為を実行しており、Labyrinth ChollimaやBlack Artemisといった名前でも追跡されている。
Microsoft傘下のLinkedInのセキュリティチームも、同グループがテクノロジー業界や防衛業界、メディアエンターテインメント業界の採用担当者になりすますための偽のプロフィールを作成していることを確認している。
Microsoftによると、同グループは標的にした人々にマルウェアを共有させるため、LinkedInからWhatsAppに誘導していたという。こういった人々には米国や英国、インドの企業/組織におけるIT部門やITサポートの担当者も含まれていたとされている。Googleの脅威分析グループ(TAG)は、2021年1月に同グループが「Twitter」や「Discord」「YouTube」「Telegram」「Keybase」、メールを用いて同種の戦術を展開していたことを確認している。
これを受けて米当局は2021年に、サポート担当や開発担当として応募してくる人物に注意するよう、米国と欧州の企業に対して警告を発していた。
なお、これら偽のアカウントは、LinkedInのThreat Prevention&Defenseチームによって既に抹消されている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
