Source: https://thehackernews.com/2025/07/n-korean-hackers-used-job-lures-cloud.html
🛡 概要
北朝鮮に関連する脅威アクターUNC4899が、LinkedInやTelegramを利用して2つの異なる組織を標的にした攻撃を行っています。フリーランスのソフトウェア開発の機会を装い、ターゲットとなる従業員に悪意のあるDockerコンテナを実行させるためのソーシャルエンジニアリング技術を駆使しました。暗号通貨やブロックチェーン業界を狙った攻撃が特徴で、特に大規模な暗号通貨の盗難に関与しています。
🔍 技術詳細
UNC4899は、2020年以降活動している国家支援型のハッキンググループです。最近の攻撃では、Google CloudやAmazon Web Services(AWS)環境が標的となり、GLASSCANNONというダウンローダーを使用して、PLOTTWISTやMAZEWIREといったバックドアを設置しました。これにより、攻撃者が管理者権限を持つアカウントにアクセスし、MFAを無効化して暗号通貨を盗みました。CVEやCVSSに関する情報は現在確認されていませんが、攻撃手法は非常に洗練されています。
⚠ 影響
UNC4899による攻撃は、数百万ドル相当の暗号通貨の盗難を引き起こしました。特に、Axie InfinityやDMM Bitcoin、Bybitなどの大規模な盗難事件が報告されています。攻撃者は、ターゲットの組織に対して悪意のあるnpmパッケージをアップロードし、従業員に協力を依頼する形で侵入を試みます。これにより、暗号通貨機能を操作するマルウェアが設置され、企業の資産が危険にさらされることになります。
🛠 対策
企業は、MFAの導入やアカウントの管理権限の制御を強化する必要があります。また、従業員に対するセキュリティ教育を実施し、ソーシャルエンジニアリング攻撃に対する認識を高めることが重要です。さらに、ソフトウェアパッケージの検証プロセスを強化し、信頼できないリソースからのパッケージの使用を避けるべきです。最新のセキュリティパッチを適用し、監視体制を強化することで、リスクを最小限に抑えることができます。
