Undercover North Korean IT workers now steal data, extort employers

欧米企業を騙して雇い入れた北朝鮮のIT専門家が、組織のネットワークからデータを盗み出し、それを漏らさないよう身代金を要求している。

裕福な国の企業への就職を希望するIT労働者を派遣することは、北朝鮮がサイバー攻撃のための特権的アクセス権を獲得したり、同国の兵器プログラムのための収入を得たりする手段として、長年にわたって利用してきた手口である。

サイバーセキュリティ企業Secureworksの研究者は、このような詐欺的なスキームに関する複数の調査の中で、恐喝の要素を発見した。

請負業者の役割の一部として)専有データにアクセスできる北朝鮮国民の雇用が終了した後、会社は最初の恐喝メールを受け取ると研究者は説明する。

仕事を獲得し、その後の疑惑を回避するために、詐欺的なIT労働者は偽の、または盗まれたIDを使用し、ラップトップファームを利用して、実際の場所と会社の間のトラフィックを米国ベースのポイント経由でルーティングした。

また、通話中のビデオを避けたり、人工知能ツールを使用するなど、ビデオ会議中の顔を隠すために業務中にさまざまなトリックに頼ったりしていた。

Overview of the scheme
スキームの概要
出典セキュアワークス

7月、アメリカのサイバーセキュリティ企業KnowBe4は被害に遭った数百社の中に同社も含まれていたことを明らかにした。同社の場合、脅威行為者は同社のコンピュータに情報窃取装置をインストールしようとした。

Secureworksは、北朝鮮のIT労働者軍団を組織・調整するグループを「Nickel Tapestry」として追跡しており、MandiantはUNC5267の名前を使用している。

Secureworksが調査した2024年半ばのNickel Tapestryのキャンペーンの一例として、外部の請負業者を雇った直後に専有データが盗まれた企業がある。

データは、会社の仮想デスクトップ・インフラ(VDI)を使って個人のグーグル・ドライブのクラウドストレージに転送された。

業績不振を理由に雇用を打ち切った後、同社は外部のOutlookやGmailアドレスから、ZIPアーカイブに格納された盗まれたデータのサンプルを含む恐喝メールを受信し始めました。

脅威行為者は、データを公に漏らさないことと引き換えに、暗号通貨で支払う6桁の身代金を要求しました。

Secureworksの調査により、Nickel Tapestryは悪意のある活動の間、実際のIPアドレスを隠すためにAstrill VPNと住宅用プロキシを使用し、システムへのリモートアクセスにはAnyDeskを使用していたことが明らかになった。

研究者は、北朝鮮のIT労働者はしばしば連携して互いに企業を紹介し合うと警告している。

組織は、リモートワーカーやフリーランサーを雇用する際には慎重になり、支払い口座やノートパソコンの発送先住所の変更、一般的な履歴書の提出、非定型的な通信時間、面接時にカメラを有効にしたくないなどの詐欺の兆候を探す必要がある。