PR

Lazarusの偽採用・リモートワーカー潜入を実地観測

Security

Source:https://thehackernews.com/2025/12/researchers-capture-lazarus-apts-remote.html

🛡 概要

脅威インテリジェンス連携(BCA LTDのMauro Eldritch、NorthScan、ANY.RUN)が、北朝鮮Lazarus系「Chollima」ラインに結び付くリモートITワーカー潜入スキームを、被疑オペレータの作業画面ごとライブ観測した。研究チームは本物の開発者用ノートPCに見せかけた長期稼働の仮想ワークステーション(ANY.RUNのインタラクティブ・サンドボックス)を用意し、偽採用担当と接触。オペレータが実機だと信じたまま、身元・端末乗っ取りの一連の手口を可視化した。

🔍 技術詳細

攻撃は「偽のリクルータ」が米国在住開発者になりすました調査協力者へ接触し、身分証・SSN・LinkedIn・Gmail・24/7端末アクセスまで要求する典型的な前段から始まった。研究側は実PCの代わりに、使用履歴・開発ツール・米国内住宅プロキシ風の通信経路まで整えた仮想端末群を提示。オペレータはChromeプロファイルを同期し、就職活動自動化ツール(例:Simplify Copilot、AiApply、Final Round AI)を導入、応募・面接回答生成を自動化した。さらに、被害者の2要素認証を扱う目的でブラウザ型OTPサービス(otp.eeやauthenticator.cc)を使用し、本人確認資料の収集後に2FAを手元で通過できる状態を狙った。

永続的な遠隔制御にはGoogle Remote Desktopが用いられ、PowerShell経由の固定PIN設定で持続的なアクセスを確立。初期偵察としてdxdiag、systeminfo、whoamiなどのOS標準コマンドで環境検証を行い、通信は一貫してAstrill VPN経由で外部へ迂回された。サンドボックス側はスナップショットや意図的な通信劣化・クラッシュ誘発も行え、オペレータの反応や再接続挙動を安全に収集できた。あるセッションでは、メモ帳に「身分証・SSN・銀行情報をアップロードせよ」と残され、狙いがマルウェア投下ではなく、完全な「身元・端末乗っ取り」にあることが裏付けられた。

⚠ 影響

この手口は個人雇用プロセスから企業内部へ侵入し、開発者端末を足場にSaaS、CI/CD、コードリポジトリ、財務・管理ダッシュボードなどへ実利用者権限で横展開し得る。発見が遅れると、給与・請求の不正回収、知財流出、クリプト資産のホットウォレット窃取、サプライチェーン汚染に波及するリスクが高い。

🛠 対策

  • 人事・調達プロセスの強化:実在性確認(KYC水準のID検証、ビデオ面談での多要素在席確認)、バックグラウンドチェックの標準化。
  • 端末側統制:仮想デスクトップ/ゼロトラスト端末(MDM/EDR必須)、リモート管理ツールの許可リスト化とインストール制限、ブラウザ同期の業務用・個人用分離。
  • アクセス管理:人・端末・環境の条件付きアクセス、特権昇格のJIT化、SaaSの要件ベースRBAC、金銭処理やリポジトリへの追加MFA。
  • ネットワーク:企業外向けVPN・匿名プロキシ(Astrill等)からの接続検知・遮断、地理・ASNベースの異常検出。
  • 監視・対応:PowerShellのスクリプトブロック/横断監査、Chrome Remote Desktop/同等ツールの新規サービス・プロセス検知、ID情報収集兆候のプレイブック化。

📌 SOC視点

  • プロセス/サービス:remoting_host.exe、Chromoting/Chrome Remote Desktop Serviceの生成(Sysmon EID 1/ServiceCreate、Windows System 7045)。
  • PowerShell:固定PIN設定・レジストリ/設定変更のスクリプトブロック(PowerShell Operational 4104)。
  • コマンド連鎖:dxdiag、systeminfo、whoami等の短時間連続実行(EDR疑わしい偵察TTPとして相関)。
  • ブラウザ挙動:OTPサイト(otp.ee、authenticator.cc)、Chrome拡張の大量導入・同期イベント、企業外SaaSへの急増するログイン。
  • ネットワーク:Astrill VPNクライアント/トンネル確立、Google Remote Desktop関連FQDN/ポートへの持続接続、異常な地理ローミング。
  • ID異常:新規端末指紋での深夜帯アクセス、MFAプッシュの異常、急なメール転送/フィルタ作成。

📈 MITRE ATT&CK

  • TA0043 Reconnaissance | T1589 受害者アイデンティティ情報収集:SSN、ID、LinkedIn、Gmail要求という明確な収集行為。
  • TA0042 Resource Development | T1585 アカウント準備:偽名リクルータ(「Aaron/Blaze」)が正規チャネル風の接触基盤を運用。
  • TA0001 Initial Access | T1078 正規アカウントの悪用:被害者の実在アカウント・端末を用いた組織進入。
  • TA0003 Persistence | T1133 外部リモートサービス:Google Remote Desktopにより永続的外部アクセスを保持。
  • TA0007 Discovery | T1082 システム情報探索/T1033 アカウント探索:dxdiag、systeminfo、whoamiで環境妥当性確認。
  • TA0005 Defense Evasion | T1059.001 PowerShell:GUI外での設定適用、検知回避。
  • TA0011 Command and Control | T1090 プロキシ:Astrill VPNで経路秘匿・地域偽装。

🏢 組織規模別助言

小規模(〜50名): 採用は動画面談+公的ID照合を標準化。業務は管理済みVDIへ限定し、私物端末からのSaaSアクセス禁止。リモート管理ツールは1種のみ許可しEDRで監視。

中規模(50〜500名): 条件付きアクセスと端末健全性チェックをSaaS全面に適用。人事・情シス・経理での二者承認を給与・振込・ベンダー登録に導入。プロキシ/VPNのブロックリスト運用。

大規模(500名以上): ゼロトラストの段階的適用(端末証明+リスクベースMFA)。人事BPO/派遣にもセキュリティ条項と監査。SOCで外部リモートサービス検知ユースケースを常時運用し、脅威ハンティングにTTP相関を組み込む。

🔎 類似事例

  • TraderTraitor/「暗号系求人」キャンペーン(CISA/FBI/財務省が注意喚起):Lazarus系が開発者をソーシャルで誘導。
  • Operation Dream Job(LinkedInを悪用した求人型ソーシャルエンジニアリング)。
  • UNC4736による3CXサプライチェーン侵害が各社からLazarus関与で報告。
  • 米政府の「DPRK IT Workers」ガイダンス(2022–2023):北朝鮮IT労働者による身元/雇用詐称の脅威と対策。
  • 本件はCVE起因ではなく、アイデンティティ悪用型の侵入(該当CVEなし)。

🧭 次の一手

  • 人事・情シス合同で「リモート採用の本人性/端末性確認チェックリスト」を整備し、全案件に適用。
  • EDR/SIEMで「外部リモートサービス」「OTPサイトアクセス」「偵察コマンド連鎖」「匿名VPN」の検知ルールを実装・テスト。
  • 開発者向けに「ブラウザ同期の分離」「個人アカウントと業務アカウントの二重化」「2FA種別の見直し(FIDO2優先)」を周知。
  • 疑わしい接触はセキュリティ窓口に転送し、隔離検証用の安全なサンドボックス環境で評価する運用を確立。