Palo Alto Networksは脅威アクターによる2つのサイバーキャンペーンを報告した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Palo Alto Networksは2023年11月21日(現地時間)、北朝鮮が支援する脅威アクターが関連する2つのサイバーセキュリティキャンペーンについて報じた。同社の研究者はこれらのキャンペーンを「Contagious Interview」(感染インタビュー、CL-STA-0240)および「Wagemole」(賃金スパイ、CL-STA-0241)と呼んでいる。
「Contagious Interview」(感染インタビュー)キャンペーンは、雇用主を装った脅威アクターがソフトウェア開発者と面接し、その過程でマルウェアをインストールさせるというものだ。脅威アクターは「GitHub」にリポジトリを作成しており、そこでNPMベースのマルウェアパッケージ配布している。この活動は2022年12月から活動が観測されている。
Palo Alto Networksはこのキャンペーンを調査する過程で「BeaverTail」と「InvisibleFerret」という2つの新たなマルウェアファミリーを発見した。BeaverTailはNPMのパッケージに隠蔽(いんぺい)されたJavaScriptベースのマルウェアだ。InvisibleFerretはシンプルだが強力なPythonベースのバックドアとされている。どちらも「Windows」「macOS」「Linux」といった複数のプラットフォームで動作するマルウェアと分析されている。
「Wagemole」(賃金スパイ)キャンペーンはさまざまな国籍の人物になりすまして米国のIT企業にテレワーカーとして就職するというものだ。Palo Alto Networksはこうした活動を裏付ける履歴書データや面接の想定問答集、自己紹介用の台本、窃取された米国永住権カードのスキャンのコピーなどを発見したと報じている。
データはこの活動が2022年8月から始まった可能性を示唆(しさ)しており、2022年12月まで続いていた可能性があることと、現在進行形で続いている可能性があることを指摘している。北朝鮮はテレワーカーを使って賃金を得て、それを兵器プログラムに流用している可能性がある。
Palo Alto Networksはこれらのキャンペーンへの対策として以下のアドバイスを挙げている。
Copyright © ITmedia, Inc. All Rights Reserved.