北朝鮮のサイバー攻撃グループとして知られるラザルス・グループの一部門 Famous Chollima が、米国の金融・暗号資産・Web3 企業などにリモート IT ワーカーとして潜り込み、スパイ活動と資金獲得を図る実態を、研究者チームが内部から長時間観測した調査レポートが公開されました。
概要
調査は脅威インテリジェンス企業 BCA LTD の Mauro Eldritch 氏と、北朝鮮 IT ワーカー摘発に取り組む NorthScan の Heiner García 氏、マルウェア分析サービス ANY.RUN の協力によって実施され、工作員が本物の開発者用ノート PCだと信じて操作した環境は、実際には長時間稼働可能なサンドボックス上の仮想マシンであり、そのすべての操作が記録・解析されています。
調査の進め方
調査は二段階で行われました。
第一段階では NorthScan の García 氏が Famous Chollima のリクルーターに接触し、信頼関係を築いて、第三者が使うためのノート PC 環境の準備を依頼されるまでに至りました。
第二段階では BCA LTD と ANY.RUN が、実際のノート PC に見える Windows 10/11 のサンドボックス環境を多数用意し、リモート接続を受け入れつつ、画面操作やファイル、ネットワーク通信をリアルタイムで監視できるラップトップファームとして構成しました。
研究チームは必要に応じて意図的にクラッシュさせたり、インターネット接続を遮断したりして、外部への攻撃や第三者への被害が生じないよう管理しています。
北朝鮮ITワーカーの狙い
レポートによると、ラザルス・グループの部門 Famous Chollima は脆弱性を悪用したゼロデイ攻撃や標的型攻撃、高度なマルウェアでのサイバー攻撃ではなく、身分のなりすましや説得力のあるストーリーを用いたソーシャルエンジニアリングに重点が置かれています。レポートでは
彼らは洗練されたサイバー攻撃者ではなく、素晴らしい俳優である としています
北朝鮮のITワーカーは、西側企業、特に金融、暗号資産、ヘルスケアのほか、近年は土木・建築・設計分野の企業にもリモート IT 従業員として入り込み、企業内部の情報を取得するとともに、得られた給与や報酬を経由して、制裁下にある朝鮮民主主義人民共和国の資金源にする役割を担っているとされています。
報告では、これらの資金の一部が弾道ミサイル開発プログラムに流れているとの見方も紹介されています。
関連:北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説
侵入手口
人材獲得の手口としては、
1:実在するエンジニアの履歴書や GitHub プロフィールを盗用して本人になりすまし、自ら会社に応募するケース
2:若手エンジニアを勧誘して本人名義や機材を借り受けるケース
の二つが確認されています。
後者のケースでは、北朝鮮側が自分たちの開発チームが 10 人程度いると説明し、候補者に対して、企業との面接に本人として出席してもらう一方、実務は後ろにいる開発者がリモートで行うと提案していました。
一般的な説明では、採用後に候補者へ月給の 35 パーセント程度を配分するとしており、Famous Chollima 側は残りを取得する構図になっています。米国などの法執行機関は、こうした IT ワーカー網への協力者に対する逮捕をすでに行っており、ラップトップファームや IT ワーカーの集団を摘発する動きを強めています。
今回の調査では、最初の接触は GitHub 上で行われました。
北朝鮮のリクルーターは自身のアカウントから多数のリポジトリに対し、スキルを評価したと称して連絡を送り、自身は米国拠点の求職支援ビジネスを運営していると説明していました。
メッセージでは、自分は 1 日に 4 件ほど面接を抱えており、代わりに面接に出てくれる人物を探しているとし、さまざまなプログラミング言語やブロックチェーンの技術面接に対応してほしいと持ちかけています。
面接の回答は支援するとした上で、採用に至った場合は本人名義でのバックグラウンドチェックや手続きも行うと説明し、仕事は本人が行うか、もしくは日次のスタンドアップ会議だけに出てもらい、実作業は裏側の開発者が対応するとしていました。
想定される報酬としては、月に 3,000 ドル程度の収入を見込めると説明しており、周囲の知人を紹介してくれた場合には紹介料も支払うとしています。
研究者のGarcía 氏は、この公開スパムが標的型ではなく量を重視したものと判断し、過去に連絡を受けていた開発者 Andy Jones を模した架空の人物として応じることにしました。本人の GitHub リポジトリや公開情報を精査し、それに近い内容のプロフィールアカウントを作成することで、米国在住で米企業の勤務経験を持つ開発者という属性を再現し、リクルーターにとって魅力的な候補者となるよう工夫しました。
オンライン面接を実施
最初のオンライン面談では、あえてカメラをオフにして多少の不信感を演出し、会話の中でリクルーターから黒人かなど人種などを尋ねられる場面もありました。
※北朝鮮はアジア人の為、肌や言語アクセントで黒人への偽装が難しい為
その後の二度目の通話では、およそ二十分にわたり、研究者のGarcía 氏は状況をよく理解していない初心者として振る舞い、相手側に具体的な条件や意図を説明させることに成功しました。
この中でリクルーターは、移民当局やビザステータスの話題にも触れつつ、24 時間ノートパソコンへのアクセスが必要であるとし、社会保障番号や銀行口座、Payoneer や PayPal のアカウント情報を含む個人情報の一式を求めました。また、本人名義での口座開設や背景調査が非常に重要だと強調し、必要なアカウントの本人確認手続きは、候補者の身分証を用いて行うよう指示しています。
報酬条件
報酬条件については、リクルーターが運営していると説明した複数人の開発チームと連携しながら仕事を行うとしつつ、候補者が自ら面接に出て顔を出す場合には給与の 20 パーセントを配分し、面接や実務もすべて相手側が行い、候補者は名義と機材だけを提供する形の場合には 10 パーセントの配分になると具体的な数字を提示していました。
リモート接続で面接相手のPCへ接続
この際、García 氏の自宅にある別のノートパソコンにも興味を示し、オペレーティングシステムには特にこだわらないと述べた上で、リモート接続に使う AnyDesk の導入と、指定されたパスワードの設定を求めています。リクルーターは、Telegram で常時連絡を取り合い、候補者のノートパソコンが常に起動しており、遠隔から接続できる状態を維持するよう繰り返し求めました。
この時点で García 氏は、実際のノートパソコンではなく ANY.RUN のサンドボックス環境に相手を誘導する計画に移りました。ANY.RUN は通常、マルウェア解析向けに数十分程度のインタラクティブなサンドボックスセッションを提供していますが、今回の調査では、数時間にわたって連続稼働できる特別なインスタンスを用意しました。
Windows 10 および 11 に Visual Studio などの開発ツールを事前インストールし、過去のファイルや設定も含めて、日常的に開発者が使っている個人用ノートパソコンに見えるようカスタマイズしています。接続元は住宅系プロキシを経由させて米国内の一般ユーザーに見えるように設定しつつ、研究者側は画面、キーボード入力、ファイル操作、ネットワーク通信をリアルタイムで監視できる構成を整えました。
リクルーターの Aaron こと Blaze は、指定された AnyDesk の ID とパスワードを用いてこの仮想ノートパソコンに接続しました。最初に行ったのは DirectX Diagnostic Tool(DxDiag)の実行であり、グラフィックやサウンド、ネットワークなどのハードウェア構成を確認して、実機として不自然な点がないかを見ている様子が記録されています。
続いて Google Chrome を起動し、既定のブラウザに設定した上で、自身の位置情報を確認するための検索を行いました。この際、Google のボット判定による画像認証が何度も表示され、Blaze が時間をかけて対応している様子が確認されています。ネットワークログの分析では、彼が英国の IP アドレスから接続しており、AstrillVPN と紐づけられたアドレスであることが判明しました。
研究チームは、一定時間の操作を観測した段階で、意図的にブルースクリーンを発生させるなどしてサンドボックスをクラッシュさせました。その後、復元ポイントから環境を巻き戻し、Blaze に対してはネットワークや VPN の問題でシステムリストアが必要になったと説明することで、彼の作業を何度もやり直させる形になりました。同様の手法は、別の Windows 10 環境でも繰り返され、Blaze が再び DxDiag を実行し、Chrome を使って位置情報を確認しようとするたびに、研究チーム側がタイミングを見て環境を巻き戻しました。
二台目の仮想ノートパソコンでは、Blaze はコマンドラインから whoami や systeminfo を実行してユーザー名やシステム情報を確認し、結果が管理者権限の一般的な構成であると判断した後、メモ帳を開いて候補者 Andy に向けたメッセージを書き残しました。メッセージには、ノートパソコンにアクセスできるようになったものの、本人の情報がまだ準備されていないため作業を開始していないこと、氏名や各種アカウントのログインなどをその日のうちに済ませてほしいことなどが記されていました。研究チームは、このメモを残した後に再び意図的にクラッシュを発生させ、Blaze が自分のメッセージが届いていないと思い込むような状況を作り出しました。
その後も、あえて不完全なメールアドレスやパスワードを伝えるなどして、Blaze をログイン失敗や CAPTCHA ループに長時間拘束する場面が記録されています。彼は何度も Gmail や LinkedIn へのログインを試み、都度失敗する中で、研究チームは通信ログやブラウザ挙動からさまざまな指標を収集しました。
ある時点では、新たな AnyDesk アカウント Assassin がノートパソコンに接続する様子も観測されました。このユーザーは直ちに Gmail のログイン画面へ移動し、保存済みパスワードの表示機能を使いながらアカウントへのアクセスを試みましたが、成功しませんでした。その後再び Blaze 本人が接続し、設定画面やブラウザを確認するなどの操作を行いました。ネットワーク上の記録からは、Blaze と Assassin の双方が同じ AstrillVPN 経由の IP アドレスを使用していたことが確認されており、同一のインフラを共有する複数の協力者がいることがうかがえます。
正常にログインできたセッションでは、Blaze は自身の Google アカウント Aaron S を Chrome に同期させました。その結果、日常的に使用しているブラウザ拡張機能やブックマーク、設定がサンドボックス内に反映され、ツールチェーンの全体像が明らかになりました。確認された拡張機能には、応募フォームの自動入力や職務経歴書の作成支援を行う Simplify Copilot や AiApply、オンライン面接中に質問への回答候補をリアルタイム表示する Final Round AI、生成 AI 用のプロンプトを保存する Saved Prompts for GPT などが含まれていました。また、ワンタイムパスワードを生成する Authenticator.cc や otp.ee の拡張機能、Google Remote Desktop の拡張も有効になっていました。
Blaze は Google Remote Desktop も設定し、自身がすでに利用している AARON-PC や Blaze といったホストに加え、新たな仮想ノートパソコンを遠隔操作用の一覧に登録しました。この際、接続に利用する PIN として 123456 を設定しており、その操作はコマンドプロンプトや PowerShell 上で実行されました。研究チームは、リモートデスクトップの設定が完了したタイミングで再びサンドボックスをクラッシュさせ、Blaze のセッションが切断された状態で、彼の Gmail アカウントに対する調査を続行しました。
メールボックス内には、複数の求人プラットフォームへの登録通知や、企業向けチャットツール Slack のワークスペースに関連するメッセージが多数確認されました。中でも Zeeshan Jamshed という人物とのやり取りでは、祝祭日となる Eid 期間中は連絡が遅れるといった業務上の連絡に続き、求人プラットフォームに対する不満や、同じような質問を繰り返す採用面接に疲弊している様子が表れていました。Zeeshan は、実在する企業と人が行う面接だけに集中すべきだと主張し、オンラインプラットフォームは時間の無駄だと考えている旨をメッセージで送っていました。
調査の後半では、研究チームは一部の仮想ノートパソコンをドイツ発の VPN 経由の接続に切り替え、Blaze の利用環境にあえて変化を加えました。この結果、Google の表示言語がドイツ語になり、彼が改めて位置情報の確認を試みるたびに、CAPTCHA や言語設定に対応しなければならない状況が生まれました。Blaze はシステムのネットワーク設定を何度も確認し、IPv4 の有効化設定まで変更するなど原因追及を試みましたが、同時に自分が依然としてリモートでノートパソコンに接続できている状況との矛盾には気が付かないまま操作を続けていました。
最終的に、ネットワークの挙動に異常を感じた Blaze は、Windows のレジストリや DxDiag、systeminfo の結果に加え、IP アドレスの評価を行う IP Score や Scamalytics、位置情報を表示するサイトなどを立て続けに利用し、自身が接続している環境がドイツからのアクセスとして認識されていることを確認しました。その後、検索エンジンで ip fraud check などの語句を入力して調べるなど、自分が何らかの検査対象である可能性を意識し始めた様子が記録されています。Blaze は Telegram 上で García 氏に対し状況説明を求めましたが、研究チームはこの時点で応答をやめ、最後にもう一度サンドボックスをクラッシュさせてセッションを終了させました。
調査レポートには、協力者同士の関係性を探るための追加の工夫も記載されています。研究チームは、García 氏が別の北朝鮮側リクルーター Ralph からもより好条件のオファーを受けていると伝えることで、Blaze の反応を観察しました。Blaze は Ralph と関わらないよう求め、以前アクセスできなかったアカウントについて、Ralph がログイン情報を変更したのではないかという推測を述べました。そのうえで Ralph を批判し、自分の仕事に悪影響を与える可能性があると主張し、Andy は自分だけと組むべきだと強く訴えています。また、今後はチームメンバーの一人にノートパソコンの作業を任せると述べ、その人物が前述の Assassin であると説明しました。研究チームは、Blaze と Assassin が同じ AstrillVPN の IP アドレスを共有していたことから、同一インフラ上に複数の協力者が存在し、リクルーター同士の調整が十分でない可能性があると結論付けています。
バックグラウンドチェックの重要性
レポートの結びでは、この種の IT ワーカー工作が今後も継続すると見られる中で、企業と求職者、セキュリティ担当者が取るべき具体的な対策が示されています。企業側には、新規採用時の厳格な本人確認とバックグラウンドチェックの実施、人事や採用担当に対する教育を通じた、身分貸しや代理面接の兆候への早期気付きが求められるとしています。
求職者に対しては、企業や投資家を名乗る相手から突然持ちかけられる高額なリモート案件や副業のオファーについて慎重に検討し、身分証や銀行情報、社会保障番号、自宅 PC への常時リモートアクセスなどを第三者に渡さないこと、コーディング課題やツール実行の依頼を受けた際には企業ドメインや担当者の正当性を必ず確認することなどを呼びかけています。セキュリティ担当者には、技術的なマルウェアだけでなく、求人や投資を装ったソーシャルエンジニアリング的な攻撃も脅威インテリジェンスの対象として共有し、必要に応じてコミュニティの支援を得ながら組織内での注意喚起を行うことが推奨されています。
参照
Smile, You’re on Camera: A Live Stream from Inside Lazarus Group’s IT Workers Scheme
関連記事
ハッカーが偽のOneNoteを装いOffice365とOutlookの認証情報を窃取
LINE アルバム誤表示は通信の秘密の漏洩、30日以内に詳細報告が必須
太陽工業、2024年に発生した不正アクセスによるサイバー攻撃で情報漏洩の恐れ
生成AIを悪用して「快活CLUB」に不正アクセスした高2男子が再逮捕
NordVPN、ハッカーのサイバー攻撃 主張について声明を発表
WordPress(ワードプレス)の複数のプラグインにサプライチェーン攻撃によるバックドアが仕掛けられる
SonicWall VPNにゼロデイ攻撃、Akiraランサムウェアが数時間以内に展開 ― MFAを回避してドメイン支配も
破損したMicrosoft Wordファイルを利用した新たなフィッシング攻撃の手法
ロシア系ハッカーが世界中のBlender ユーザーを標的としたサイバー攻撃 キャンペーンを展開
