世界最大級のセキュリティ専門家チームのシスコ・タロスは18日、北朝鮮のハッカーグループ「Famous Chollima」がインドの暗号資産の求職者を標的に攻撃を行っていると報告した。このグループはラザルスとは直接の関係はないようだ。
現時点では、これらの取り組みが単なる窃盗なのか、大規模な攻撃の準備段階なのかを判断するのは難しい。暗号資産業界の求職者は今後注意を払うべきである。
北朝鮮の暗号資産ハッキングが続く
Sponsored北朝鮮のラザルスグループは、暗号資産犯罪で恐るべき評判を持ち、業界史上最大のハッキングを行った。しかし、同国のWeb3犯罪はこれだけではなく、北朝鮮はDeFiにも大きな存在感を持つ。
シスコ・タロスは、インドで最近発生した暗号資産窃盗に対する新たなアプローチを特定した。
報告によれば、Famous Chollimaは新しいグループではなく、2024年中頃から、あるいはそれ以前から活動している。最近のいくつかの事件では、北朝鮮のハッカーが米国の暗号資産企業クラーケンなどに侵入しようと試みた。
Famous Chollimaは逆に、偽の応募で潜在的な労働者を誘い込んだ。
「これらのキャンペーンには、偽の求人広告やスキルテストページの作成が含まれる。後者では、ユーザーに最終スキルテスト段階を実施するために必要なドライバをインストールするための悪意のあるコマンドラインをコピー&ペーストするよう指示される。[影響を受けたユーザーは]主にインドにいる」と同社は主張した。
ラザルスの恐るべき評判に比べ、Famous Chollimaのフィッシング活動はかなり不器用に見える。シスコは、このグループの偽の応募が常に有名な暗号資産企業を模倣していると主張した。
これらの誘いは実際の企業のブランドを使用せず、応募職にほとんど関係のない質問をしていた。
Sponsored
餌に食いつく
被害者は、著名なテックや暗号資産企業を装った偽の採用サイトを通じて誘い込まれる。応募書類を提出した後、ビデオ面接に招待される。
この過程で、サイトはビデオドライバのインストールを名目にコマンドラインの実行を求めるが、実際にはマルウェアをダウンロードしてインストールする。
インストールされると、PylangGhostは攻撃者に被害者のシステムの完全な制御を与える。ログイン情報、ブラウザデータ、暗号資産ウォレット情報を盗み、MetaMask、Phantom、1Passwordなど80以上の人気拡張機能を標的にする。
最近、マルウェア攻撃を阻止した後、BitMEXはラザルスが少なくとも2つのチームを使用していると主張した。低スキルのチームが最初にセキュリティプロトコルを突破し、高スキルのチームがその後の窃盗を行う。これは北朝鮮のハッカーコミュニティで一般的な手法かもしれない。
残念ながら、推測なしに確固たる結論を出すのは難しい。北朝鮮はこれらの応募者をハッキングして、暗号資産業界の求職者としての偽装を強化しようとしているのだろうか。
ユーザーは、未承諾の求人情報に注意し、未知のコマンドを実行せず、エンドポイント保護、MFA、ブラウザ拡張機能の監視でシステムを保護するべきである。
採用ポータルの正当性を確認し、機密情報を共有する前に必ず確認すること。
