読メモ:Microsoft shares latest intelligence on North Korean and Chinese threat actors at CYBERWARCON
ビットコインの流出の話があったので、手口の周知のためにハッシュタグを追加しておこうと思います。同様の手口にひっかかる人が少しでも減ると嬉しいです。参照元のブログもぜひご参考ください。
北朝鮮および中国が、どのようにしてサイバー空間で情報や暗号通貨の盗難を成功させたかに関する分析です。元になっているのは、CYBERWARCON および No targets left behind でのプレゼンテーションです。
Sapphire Sleet : ソーシャルエンジニアリングと暗号通貨の盗難
ベンチャーキャピタリストへのなりすまし
過去1年半にわたって Sapphire Sleet が使用した主なスキームは、ベンチャーキャピタリストになりすまし、ターゲットユーザーの会社に投資することに興味を持っているふりをすることです。脅威アクターは、ターゲットユーザーとのオンライン会議を設定します。会議の当日、ターゲット ユーザーが会議に接続しようとすると、画面がフリーズするか、ルーム管理者またはサポート チームに連絡して支援を求める必要があることを示すエラー メッセージが表示されます。
ターゲットが脅威アクターに連絡すると、脅威アクターは「接続の問題を修正」するためのスクリプト(.scptファイルまたはVisual Basicスクリプト(.vbs)ファイル)を送信します。このスクリプトは、マルウェアがターゲットユーザーのデバイスにダウンロードされる原因となります。その後、脅威アクターは、侵害されたデバイス上の暗号通貨ウォレットやその他の資格情報を取得に成功します。
リクルーターへのなりすまし
LinkedIn のようなプロフェッショナルなプラットフォームでリクルーターになりすまし、ターゲットに近づきます。脅威アクターは、採用担当者を装い、ターゲットユーザーに、仕事があり、そのユーザーが良い候補者であると信じていることを伝えます。その後、スキルを検証するために脅威アクターの管理下にある Web サイトからスキル評価を完了するように依頼します。脅威アクターは、ターゲットユーザーにサインインアカウントとパスワードを送信します。Web サイトにサインインし、スキル評価に関連付けられたコードをダウンロードすると、ターゲットユーザーはマルウェアをデバイスにダウンロードすることになり、攻撃者がシステムにアクセスできるようになります。
Ruby Sleet: 衛星および兵器システム関連の標的を標的とした高度なフィッシング
脅威アクターは、侵害した被害者から取得した正当な (ただし侵害された) 証明書を使用してマルウェアに署名していることが確認されています。脅威アクターは、バックドア化された仮想プライベートネットワーク (VPN) クライアント、インストーラー、およびその他のさまざまな正当なソフトウェアも配布しています。
北朝鮮のIT労働者
複雑なエコシステム
北朝鮮の人が銀行口座や電話番号などに登録するのは難しいため、IT 労働者はファシリテーターを利用して、リモートジョブに応募できるプラットフォームへのアクセスを取得する必要があります。これらのファシリテーターは、フリーランスの求人サイトでのアカウント作成などのタスクに一役買います。関係が構築されるにつれて、IT 労働者はファシリテーターに次のような他のタスクの実行を依頼する場合があります。
北朝鮮のIT労働者に銀行口座を作成または貸す
採用担当者に連絡して仕事を得るために使用する LinkedIn アカウントの作成
携帯電話番号または SIM カードの購入
フリーランスの求人サイトでの追加アカウント作成
AI を利用した偽のプロファイルと仕事への応募
北朝鮮のIT労働者が最初に行うことの1つは、以前の仕事の想定される例を示すポートフォリオを設定することです。Microsoft Threat Intelligence は、GitHub などの開発者プラットフォーム上で、北朝鮮の IT 労働者の偽のプロファイルとポートフォリオを数百件観測しています。
さらに、北朝鮮のIT労働者は、LinkedIn の偽のプロフィールを使用して、採用担当者と連絡を取り、仕事に応募しています。
2024年10月、Microsoft は北朝鮮の IT 労働者の公開リポジトリを発見しました。
リポジトリのレビューによると、北朝鮮のIT労働者は個人情報の盗難を行い、Faceswap などの AI ツールを使用して、被害者から盗んだドキュメントに写真を移動させています。攻撃者はまた、Faceswap を使用して北朝鮮の IT 労働者の写真を撮り、彼らをよりプロフェッショナルな外観の環境に移動しています。北朝鮮の IT 労働者がAIツールを使用して作成した写真は、求人応募のために提出される履歴書やプロフィール、場合によっては複数のペルソナに利用されます。
マイクロソフトは、北朝鮮のIT労働者が、求人応募で使用される画像の作成を支援するためにAIを使用するだけでなく、音声変更ソフトウェアなどの他のAI技術を実験していることを観察しています。脅威アクターが AI 音声とビデオを組み合わせた製品を使用している事例は今のところ見受けられませんが、攻撃者がこれらのテクノロジーを組み合わせ、将来的には、IT 労働者がこれらのプログラムを使用して、インタビュアーを騙して北朝鮮の IT 労働者とコミュニケーションを取っていないと思わせようとする可能性があるでしょう。怖いですね。
Storm-2077
中国を拠点とするサイバー攻撃の追跡はますます困難になっています。これらの脅威アクターは、別の脅威アクターの作戦と重複することが多いターゲットに対してツールや手法を使用しながら、攻撃を継続します。
Microsoft は、Storm-2077 が少なくとも 2024 年 1 月から活動し、米国の政府機関や非政府組織など、さまざまなセクターを対象として活動している中国の国家脅威アクターであると評価しています。
Storm-2077の活動の目的は、主に情報収集だと評価しています。Storm-2077は、フィッシングメールを使用して資格情報を取得し、場合によっては、外部からアクセス可能なデバイスを悪用して初期アクセスを取得しました。私たちは、電子メールデータの盗難を確認ししており、つまり、アクセスを失っても、後でじっくりとデータを分析できる手段です。Storm-2077 は、システムの侵害が成功して収集した有効な資格情報を使用することもあります。
また、Storm-2077 は、eDiscovery アプリケーションなどの正規のクラウド アプリケーションにアクセスするための資格情報を盗むことで、電子メールの流出に成功していることも確認されています。他のケースでは、Storm-2077 が侵害されたエンドポイントから資格情報を取得することにより、クラウド環境にアクセスしていることが確認されています。管理アクセス権を取得すると、Storm-2077 はメール読み取り権限を持つ独自のアプリケーションを作成しました。
電子メールデータへのアクセスは、後で悪意のある目的に利用される可能性のある機密情報が含まれていることが多いため、脅威アクターにとって非常に重要です。電子メールには、サインイン資格情報、機密通信、財務記録、企業秘密、知的財産、重要なシステムにアクセスするための資格情報、または従業員情報を含めることができます。電子メール アカウントへのアクセスや電子メール通信を盗む能力により、攻撃者はその操作をさらに進める可能性があります。