North Korea hacker

Microsoft は、北朝鮮が支援する Lazarus 脅威グループが、正当なオープンソース ソフトウェアをトロイの木馬化し、それを使用して、テクノロジ、防衛、メディア エンターテイメントなどの多くの業界セクターのバックドア組織に使用していると述べています。

ラザロ州のハッカーが BLINDINGCAN (別名 ZetaNile) バックドアを展開するために兵器化したオープンソース ソフトウェアのリストには、PuTTY、KiTTY、TightVNC、Sumatra PDF Reader、および muPDF/Subliminal Recording ソフトウェア インストーラーが含まれます。

PuTTY および KiTTY SSH クライアントは、 Mandiant が今月報告したように、偽の職務スキル評価でターゲットのデバイスにバックドアするためにも使用されました。

このトロイの木馬化されたソフトウェアは、2022 年 4 月下旬から 9 月中旬にかけてソーシャル エンジニアリング攻撃で使用され、主に英国、インド、および米国の IT およびメディア組織で働くエンジニアおよび技術サポートの専門家を対象としていました。

攻撃者は、「テクノロジー、防衛、メディア エンターテイメント企業で働く採用担当者を装った偽のプロファイルを作成し、ターゲットを LinkedIn から離れて暗号化されたメッセージ アプリ WhatsApp に移動させ、マルウェアを配信することを目的としている」と Microsoft は述べています。

「ターゲットは、自分の職業や背景に合わせたアウトリーチを受け、いくつかの正当な企業の 1 つで募集中のポジションに応募するように勧められました。」

標的がだまされて武器化されたソフトウェアをダウンロードし、システムにマルウェアを展開させた後、Lazarus のオペレーターは機密情報を盗むことを最終目標として、ラテラル ムーブメントとネットワーク検出にバックドアを使用しました。

最近のZINCキャンペーン
最近の ZINC キャンペーン (Microsoft)

Mandiant はレポートの中で、このグループの最新の活動は、2020 年 6 月に米国の著名な防衛および航空宇宙企業からターゲットを偽の求人情報でおびき寄せて以来、北朝鮮のサイバースパイ活動であるOperation Dream Jobの継続のように見えると述べた。

Lazarus Group (ZINC、Labyrinth Chollima、Black Artemis としても追跡) は、少なくとも 2009 年から活動している北朝鮮の軍事ハッキング グループです。

ブロックバスター作戦でソニー・フィルムズ、 世界中の複数の銀行をハッキングし、2017 年の世界的なWannaCryランサムウェア キャンペーンを調整したことで、悪評を博しました。

最近では、Lazarus は 1 月に手の込んだ偽の「セキュリティ研究者」ソーシャル メディア ペルソナを使用したソーシャル エンジニアリング攻撃でセキュリティ研究者を標的にし、3 月には同様のキャンペーンを行いました。

また、12 か国以上の防衛産業に対する大規模なサイバー スパイ活動で、ThreatNeedle バックドアを使用しました。

米国政府は、2019 年 9 月に北朝鮮が支援する 3 つのハッキング グループ(Lazarus、Bluenoroff、および Andariel) を認可し、現在、北朝鮮のハッカーのサイバー活動に関する情報に対して最大 500 万ドルの報奨金を提供しています