記事本文(要約)
北朝鮮のラザルスハッキンググループが、仮想通貨業界の求職者をターゲットにした新手の「ClickFix」戦術を採用してマルウェアを展開していると報告されています。この戦術は、ウェブサイトやドキュメント上で表示エラーを偽装し、ユーザーにPowerShellコマンドを実行させてマルウェアをダウンロード・実行させる手法です。ラザルスは有名企業になりすまして、この偽面接キャンペーンを通じて犠牲者を引き込んでいます。
これまでの「Contagious Interview」キャンペーンから進化したもので、ギットハブやビットバケットなどのプラットフォームを利用してマルウェアをダウンロードさせる手法が含まれていました。「ClickFake」キャンペーンでは、技術者ではなく中央金融(CeFi)会社のビジネス開発者やマーケティングマネージャーをターゲットにしています。
ユーザーは面接ビデオを録画しようとすると、カメラアクセスを妨げるドライバー問題を偽装したエラーが表示され、感染を促されます。感染後、マルウェア「GolangGhost」はコマンド&コントロール(C2)サーバーと接続し、ブラウザのクッキーやパスワードを盗み出すなどの操作が可能になります。
セコイアは、このキャンペーンを検出・ブロックするためのYaraルールと、ラザルスの最新キャンペーンに関連するIOC(侵害指標)リストを共有しています。求職者は、インタビュー招待を受ける際に注意を払い、理解できないインターネット上のコマンドを実行しないよう警戒する必要があります。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 31 Mar 2025 11:56:54 -0400
Original URL: https://www.bleepingcomputer.com/news/security/north-korean-hackers-adopt-clickfix-attacks-to-target-crypto-firms/
詳細な技術情報
- 脆弱性の仕組み
- 攻撃の仕組みは、悪意のあるウェブサイトや文書でユーザーに偽のエラーを提示し、そのエラーを「修正」するためにPowerShellやcurlコマンドを実行するよう促すことです。この操作により、マルウェアがシステムにダウンロード・実行されます。この手法は、社会工学的要素を含むフィッシング攻撃に該当します。
- 攻撃手法
- 1. 有名企業を装った偽の求人サイトを作成。
- 2. 疑似的な面接プロセスを通じてターゲットを誘惑。
- 3. ウェブカメラのドライバーエラーを偽装し、問題解決のためのコマンドの実行を強制。
- 4. コマンドを実行することで、マルウェア「GolangGhost」がシステムにインストールされる。
- 潜在的な影響
- 攻撃者は感染したデバイスをリモートで制御可能。
- ファイル操作やシステムコマンドの実行。
- Chromeのクッキー、閲覧履歴、保存されたパスワードの窃取。
- システムのメタデータの収集。
- 組織や個人の機密データが危険にさらされる可能性がある。
- ### 推奨される対策
- 1. 警戒心の保持: 面接の招待状やリンクをクリックする前に必ず検証すること。
- 2. コマンドの実行に注意: 理解できないコマンドをWindows CMDやmacOS Terminalで実行しない。
- 3. セキュリティツールの利用: Sekoiaが提供するYaraルールを用いて、ClickFake活動の検出とブロックを行う。
- 4. 最新情報の把握: セキュリティ関連の最新動向を追い、常に最新の防御策を取り入れる。
- 5. インジケーターの確認: Sekoiaが提供するインジケーターを利用して、感染の兆候を検出する。
