Lazarus Groupという北朝鮮に関連するハッキンググループは、暗号通貨セクター、特に中央集権的金融（CeFi）での求職者を標的にする戦術を進化させ、'ClickFix'と呼ばれる手法を使用しています。この新しいアプローチは、以前の'Contagious Interview'キャンペーンの適応であり、主要な暗号企業を装い、マーケティングやビジネス開発などの非技術的な役割に焦点を当てています。このグループは候補者を誘引するために偽の求人応募ポータルを作成し、トラブルシューティングの名目でPowerShellコマンドを実行させることでマルウェアをダウンロードさせます。この戦術は、暗号業界の求職市場における個人の職業的な野望を悪用しています。さらに、FBIはLazarusに対してBybitに対する15億ドルの攻撃を帰属させており、偽の求人オファーを使ってスタッフのコンピュータにマルウェアをインストールしました。

SEKOIA

最近のSekoiaによるサイバーセキュリティレポートでは、悪名高い北朝鮮関連のハッキンググループであるLazarus Groupによって引き起こされる進化する脅威が明らかにされました。現在、彼らは「ClickFix」として知られる戦術を活用し、特に中央集権的金融（CeFi）内の暗号通貨セクターで求職者をターゲットにしています。このアプローチは、以前は人工知能や暗号関連の役割における開発者やエンジニアを対象にしていたグループの「Contagious Interview」キャンペーンの適応を示しています。<h2>Lazarusが暗号雇用を悪用</h2>新たに観察されたキャンペーンでは、LazarusはCoinbase、KuCoin、Kraken、さらにはステーブルコイン発行者であるTetherなどの主要な暗号企業を装って、マーケティングやビジネス開発の専門職といった非技術的な専門家に焦点を移しています。攻撃者は、求人応募ポータルを模倣した詐欺サイトを構築し、偽の面接招待状で候補者を誘引します。これらのサイトには、現実的な応募フォームやビデオ自己紹介のリクエストが含まれており、信頼性を高めています。しかし、ユーザーがビデオを録画しようとすると、通常はウェブカメラやドライバーの故障を示唆する偽のエラーメッセージが表示されます。その後、ページはトラブルシューティングの名目でユーザーにPowerShellコマンドを実行するよう促し、マルウェアのダウンロードを引き起こします。このClickFix手法は比較的新しいものですが、心理的な単純さからますます一般的になっています。ユーザーは技術的な問題を解決していると思っているため、悪意のあるコードを実行しているとは考えていません。Sekoiaによると、このキャンペーンは184件の偽の面接招待状からの資料を利用しており、少なくとも14社の著名な企業を参照して信頼性を高めています。したがって、最新の戦術は、Lazarusの社会工学における高度な技術と、競争の激しい暗号職市場における個人のプロフェッショナルな願望を悪用する能力を示しています。興味深いことに、このシフトは、グループがコードやインフラにアクセスできる人々だけでなく、内部データを扱ったり、意図せずに侵害を助長したりする可能性のある人々もターゲットにしていることを示唆しています。ClickFixの出現にもかかわらず、Sekoiaは元のContagious Interviewキャンペーンが依然としてアクティブであると報告しました。この戦略の並行展開は、北朝鮮の国家支援を受けた集団がそれぞれの相対的な効果をテストしているか、異なるターゲット層に戦術を調整している可能性があることを示唆しています。どちらの場合も、キャンペーンは一貫した目標を共有しています。信頼できるチャネルを通じて情報を盗むマルウェアを配布し、被害者を自己感染させるよう操作することです。<h2>LazarusがBybitハッキングの背後に</h2>連邦捜査局（FBI）は、Bybitに対する15億ドルの攻撃をLazarus Groupに正式に帰属させました。暗号取引所を狙ったハッカーは、従業員を欺いて「TraderTraitor」として知られる汚染された取引ソフトウェアをインストールさせるために偽の求人を利用しました。クロスプラットフォームのJavaScriptとNode.js開発を通じて本物に見えるように作成されましたが、アプリケーションにはプライベートキーを盗み、ブロックチェーン上で不正な取引を実行するように設計されたマルウェアが埋め込まれていました。

ラザルスグループが「ClickFix」マルウェアを使用してCeFiの求職者を標的にする