-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
北朝鮮ハッカーがClickFix戦術を採用:新たなClickFakeキャンペーンで暗号資産業界を標的に
BleepingComputer – March 31, 2025
北朝鮮のAPTグループLazarusは、CeFi(中央集権金融)を標的とする新たなキャンペーンClickFix戦術を採用するようになっていると、Sekoiaが報告。同社が「ClickFake」と名付けたこのキャンペーンは、遅くとも2022年12月から続いている「Contagious Interview」キャンペーンの一環だと考えられるという。
Contagious Interviewキャンペーンとは
Contagious Interview(感染面接)はLazarusによるものとされるキャンペーンで、偽の採用面接を通じてソフトウェア開発者を騙してマルウェアに感染させ、認証情報や暗号資産ウォレット情報、ブラウザ情報などの窃取を試みる攻撃群。2023年11月にPalo Alto NetworksのUnit 42によって初めて文書化された。
攻撃ではまず、採用担当者に扮したLazarusのアクターがLinkedInまたはXで求職者にコンタクトを取り、Web面接を持ちかける。面接に参加した求職者はコーディング能力をテストするためなどの理由でGitHub上のプロジェクトをダウンロードするよう要請され、このプロジェクトによってインフォスティーラーBeaverTailへ感染することに。また場合によっては、BeaverTailがさらに第2段階のペイロード「InvisibleFerret」をダウンロードすることもある。InvisibleFerretマルウェアは、リモートコントロールやデータ抜き取り、ブラウザ情報窃取、キーロガーといった性能を備えている。
ClickFake Interviewキャンペーン
Sekoiaによれば、Contagious Interviewキャンペーンは2025年3月の時点で依然として継続しており、新たなサブキャンペーン「ClickFake Interview」へと進化しているという。このキャンペーンの特徴として、最近脅威アクターからの人気が急激に高まっている手法「ClickFix」が採用されている点や、CeFiサービスを提供する企業へターゲットがシフトしている点、Windows/macOSのそれぞれに応じたバックドアが展開される点などが挙げられる。
ClickFakeキャンペーンにおけるClickFix戦術の採用
Contagious Interviewでの主な標的はソフトウェア開発者など技術系の人材だったが、ClickFakeのターゲットはビジネスデベロッパーやマーケティングマネージャーなど、非技術系の人材。採用担当者を装う脅威アクターはこうした職種の求職者に接触し、リモート面接のために面接用Webサイトへのリンクを提供する。
このサイトは一見本物らしく見える作りになっており、求職者は連絡先フォームへの入力や暗号資産に関する設問への回答、自己紹介動画の作成などを求められる。そして求職者が自身のPCのWebカメラを使って動画の録画を始めようとすると、偽のエラーが出現し、カメラへのアクセスがブロックされていると通知。ターゲットはこれを解決するためにドライバーをダウンロードする必要があると伝えられ、curlコマンドをCMD(Windowsの場合)またはターミナル(macOSの場合)で走らせるよう指示を受けるが、これに従うとGoベースのバックドア「GolangGhost」に感染してしまうという。GolangGhostの性能には、ファイル操作、シェルコマンドの実行、Chromeクッキー・ブラウザ履歴・保存されたパスワードの窃取、システムメタデータの収集がある。
Cefi企業へのシフトチェンジ
ClickFakeキャンペーンでは、Lazarusの成りすまし対象の多くがCeFi企業になっているとSekoiaは指摘。同社は、偽採用面接Webサイトから取得した面接の招待状184件を分析したところ、以下14社の名称を発見したという:Coinbase、Archblock、KuCoin、Ripple、Chainalysis、Kraken、BlockNovas LLC、Circle、Securitize、BlockFi、Block、Tether、Bybit、Robinhood
これらはいずれも暗号資産業界に関連する企業で、うち9社が取引所などのCeFiサービスを提供。DeFiサービスを提供する企業は1社のみ(Archblock)とされる。標的に関するこの傾向は、2024年に北朝鮮関連の脅威アクターの間で見受けられた、「DeFiサービスの代わりにCeFiを狙うことが増加している」というトレンドと合致しているという。
ネット上からコピーしたコマンドの実行はNG
Lazarusが攻撃手法を多様化させている中、ターゲットとなり得る求職者には同アクターをめぐる最新の動向を注視する必要があるという。面接の招待が来た際には、必ずその真正性を検証すること、またインターネット上からコピーしたものをWindowsのコマンドプロンプトやmacOSのターミナルへペーストするのは絶対に避けることなどが推奨されている。
Sekoiaの記事では、さらに詳しい分析結果とともにファイルハッシュやYaraなどのIoCも提供されている。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
