米国のサイバーセキュリティ企業KnowBe4は、同社が最近プリンシパル・ソフトウェア・エンジニアとして採用した人物が、同社のデバイスに情報窃盗をインストールしようとした北朝鮮の国家活動家であることが判明したと発表した。
同社は悪質な行為を時間内に検知して阻止したため、データ漏洩は発生しなかった。しかし、この事件は、FBIが2023年以来繰り返し 警告してきた、ITスタッフを装った北朝鮮の脅威行為者による継続的な脅威を浮き彫りにしている。
朝鮮民主主義人民共和国は、何百ものアメリカ企業に雇われるために、正体を隠蔽するIT労働者の高度に組織化された軍隊を維持している。
これらの労働者によって生み出された収入は、情報収集だけでなく、同国の兵器プログラムやサイバー作戦の資金源として使われている。
AIによるマスキング
KnowBe4は、脅威行為者を雇用する前に、身元調査を行い、提供された推薦状を確認し、4回のビデオ面接を行い、実在する人物であること、履歴書に記載されている顔と一致していることを確認しました。
しかし、後にこの人物が事前チェックをかわすために米国人の盗難IDを提出し、さらにAIツールを使ってプロフィール写真を作成し、ビデオ会議中にその顔と一致させていたことが判明しました。
セキュリティ意識向上トレーニングとフィッシング・シミュレーションを専門とするKnowBe4は、2024年7月15日、同社のEDR製品が、新入社員に送られたばかりのMacワークステーションからマルウェアをロードしようとする試みを報告したことから、何かがおかしいと疑いました。
KnowBe4の広報担当者は、このマルウェアはウェブブラウザに保存されたデータを狙う情報窃取ツールであり、不正な従業員は、委託される前にコンピュータに残された情報を抜き取ることを望んでいた可能性が高いと話しました。
「攻撃者は、IT部門の最初のプロビジョニングプロセスの結果として、以前のブラウザセッションから残っている認証情報を見つけるため、または以前に別の従業員に発行された不完全または不適切に消去されたノートパソコンから残っている情報を抽出するために、これを(使用した)可能性があります。
この活動に関して会社のITスタッフに問いただされたとき、国家権力者は当初言い訳を予想したが、すぐにすべてのコミュニケーションを停止した。
「これらのアラートが届いたとき、KnowBe4のSOCチームはユーザーに連絡を取り、異常なアクティビティと考えられる原因について問い合わせました。XXXX(脅威アクター)はSOCに対し、速度の問題をトラブルシューティングするためにルーターガイドの手順に従っており、それが侵害を引き起こした可能性があると回答しました。
攻撃者は、セッション履歴ファイルの操作、潜在的に有害なファイルの転送、不正なソフトウェアの実行など、さまざまなアクションを実行した。彼はマルウェアをダウンロードするためにRaspberry Piを使用していました。SOC は XXXX から詳細を聞き出そうとし、XXXX との通話も試みた。XXXXは電話に出られず、その後応答しなくなったと述べた。”
❖ KnowBe4
KnowBe4 の CEO である Stu Sjouwerman の投稿によると、この手口では、雇用主を騙して、詐欺師が申請書に自宅住所として申告した場所の近くにある「IT ミュール・ラップトップ・ファーム」にワークステーションを送らせると説明しています。
そして、夜間にVPNを使ってそのデバイスに接続することで、あたかも米国時間帯に仕事をしているかのように見せかけ、与えられた仕事を通常通りにこなすのだ。
このリスクを軽減するために、KnowBe4は、最も重要なネットワーク部分から隔離された新入社員用のサンドボックスを維持することを企業に提案している。
同社はまた、新入社員の外部デバイスがリモートで使用されていないことを確認し、配送先住所の不一致を赤信号として扱うよう述べている。
Comments