北朝鮮APTグループ、偽の採用コーディング課題で開発者を標的に – 最新サイバー攻撃の手口と対策
北朝鮮の国家支援ハッカー集団が、偽の採用コーディング課題を悪用し、ソフトウェア開発者を標的としたマルウェア攻撃を展開。暗号通貨業界へのスパイ活動やサプライチェーン侵害のリスクを解説。
北朝鮮の脅威アクター、採用プロセスを悪用してマルウェアを配布
セキュリティ研究者らは、北朝鮮の高度持続的脅威(APT)グループが、企業の採用担当者を装い、ソフトウェア開発者を標的としたマルウェアを含むコーディング課題を仕掛ける巧妙な攻撃キャンペーンを発見した。この攻撃は、ReversingLabsによって初めて報告され、サイバースパイ活動やサプライチェーン侵害における新たな手口として注目されている。
攻撃の主な詳細
- 脅威アクター:北朝鮮の国家支援ハッカー集団(Lazarus Groupまたはその関連組織と推定)。
- 標的:ソフトウェア開発者(特に暗号通貨・ブロックチェーン分野)。
- 手法:偽の採用メッセージに見せかけた悪意あるコーディング課題(技術評価と称したもの)。
- ペイロード:提供されたコードの実行によりマルウェアがインストールされ、リモートアクセス、データ流出、またはさらなる内部侵入が可能に。
技術分析
攻撃は、脅威アクターがLinkedInやメールを通じて正規の採用担当者を装い、高額な求人情報を提示することから始まる。被害者は、GitHubやGitLabなどのプラットフォーム上でホストされたコーディング課題を完了するよう指示されるが、提供されたコードには難読化されたマルウェア(バックドアやリモートアクセストロjan(RAT)など)が含まれている。
ReversingLabsの分析によると、このマルウェアは以下の手法を利用している可能性がある:
- Living-off-the-land binaries(LOLBins):検出回避のための正規ツールの悪用。
- エンコードされたペイロード:PythonやPowerShellなどのスクリプト内に隠された悪意あるコード。
- 永続化メカニズム:スケジュールタスクやレジストリ変更による持続的な感染。
特定のCVE IDは公表されていないが、この攻撃は、北朝鮮が開発者を標的にしてソフトウェアサプライチェーンを侵害する過去の手法(例:2020年のSolarWinds型攻撃)と一致している。
影響と動機
このキャンペーンの主な目的は以下の通り:
- サイバースパイ活動:知的財産や機密プロジェクトデータの窃取。
- サプライチェーン侵害:開発者を感染させ、正規のソフトウェアアップデートを通じてマルウェアを拡散。
- 金銭的窃取:暗号通貨開発者を標的にして資金の窃取やマネーロンダリングを支援。
フィンテックやブロックチェーンなどの高価値分野の開発者は特にリスクが高く、そのシステムが独自のコードベースや本番環境へのアクセスを持つことが多いため、標的となりやすい。
緩和策と推奨事項
セキュリティチームおよび個々の開発者は以下の対策を講じるべきである:
- 採用担当者の身元確認:公式な企業チャネルを通じて採用担当者の身元を確認する。
- コーディング課題の隔離:信頼できないコードはサンドボックス環境(Dockerコンテナや仮想マシンなど)で実行する。
- 異常の監視:エンドポイント検出・対応(EDR)ツールを導入し、不審なプロセス実行を検出する。
- チームの教育:採用プロセスにおけるソーシャルエンジニアリングのリスクについて開発者を訓練する。
- 最小権限の原則:マルウェアの影響を最小限に抑えるため、ローカル管理者権限を制限する。
詳細については、ReversingLabsのレポートおよびBleepingComputerの記事を参照のこと。