ログイン/ 登録

インドの暗号専門家、偽の就職面接とマルウェアを使った北朝鮮のハッカーに狙われる

Weatherly

2025/06/19 14:59

従う

北朝鮮のハッカー、マルウェアでインドの暗号求職者を標的に

あまり知られていない北朝鮮のハッキング・グループ「フェイマス・チョリマ」が、インドの暗号通貨とブロックチェーン分野の就職希望者を積極的に狙っている。

悪名高いラザロ・グループとは異なり、この一派は候補者を騙してマルウェアをコンピュータにインストールさせるために、粗雑だが効果的なフィッシング戦術を用いる。

このキャンペーンは2024年中頃から行われており、偽の求人広告や不正なスキルテストが中心で、被害者はPylangGhostと呼ばれる悪質なソフトウェアに感染するように設計されている。

北朝鮮と連携する脅威行為者であるFamous Chollimaは、彼らのGolangGhost RATと同等のPythonベースの新しいPylangGhost RATで、暗号通貨／ブロックチェーンの専門家（主にインド）を標的としています：https://t.co/fYKvY1tXdB pic.twitter.com/ojDl6Oz7Zv
シスコ・タロス・インテリジェンス・グループ (@TalosSecurity)2025年6月18日

偽の求人情報がマルウェア感染につながるメカニズム

Famous Chollimaは、Coinbase、Uniswap、Robinhoodなどの有名な暗号企業になりすまし、偽の求人サイトを作成して営業している。

偽の求人情報には、ブロックチェーンや暗号技術の経験を持つ専門家が応募するよう誘い出されている。

詳細を記入し、ビデオインタビューに参加すると、応募者はビデオドライバーをインストールするという名目で、コマンドをコピー＆ペーストするよう促される。

ハッカーによって配布された質問は、Robinhoodの機会として偽って提示された、違法な事業開発マネージャーの役割のためのものでした。(出典シスコ・タロス )

代わりに、これらのコマンドはハッカーが被害者のデバイスに完全にアクセスできるようにするマルウェアをダウンロードする。

このマルウェアは、ログイン認証情報、ブラウザのデータ、MetaMaskやPhantomのような暗号通貨ウォレット拡張機能などの機密情報を狙う。

Windowsユーザー向けには、ビデオドライバのインストールを装った悪意のあるコマンドをコピー、貼り付け、実行する手順が紹介されており、macOS向けにも別の手順が提供されている。(ソースシスコ・タロス )

Cisco Talosの研究者は、偽のエラーメッセージを修正するようユーザーに促し、最終的に有害なコードを実行することで、人間の問題解決本能を悪用する「ClickFix」と呼ばれる手法の使用を強調した。

名門チョリーマとラザロ・グループの違いは？

両グループとも北朝鮮を起源とし、暗号空間で活動しているが、有名なチョリマのアプローチは際立って洗練されていない。

シスコ・タロスは、偽の求人広告には本物のブランディングが欠けており、しばしば無関係な質問が含まれていると指摘し、疑念を抱かせた。

偽の求人広告の例。(出典シスコ・タロス )

一方、ラザロ・グループは、大規模な暗号窃盗など、高度に連携した高度なサイバー攻撃で知られている。

BitMEXは最近、Lazarusが2層のチーム・システムを採用していることを明らかにした：最初のセキュリティを突破する低スキルのグループと、窃盗を実行する高スキルのチームである。

北朝鮮のサイバー作戦が、異なるグループ間で同様の構造に従っている可能性はあるが、有名なチョリマの単純な戦術は、初期段階または日和見的な取り組みを示唆している。

これらの攻撃は、北朝鮮によるより大規模な暗号化計画の序曲なのか？

有名なチョッリマのキャンペーンの真意はまだ不明だ。

この攻撃は小規模な窃盗かもしれないが、専門家は、合法的な求職者になりすましたり、暗号企業への持続的なアクセスを得るための偵察にもなりうると警告している。

2024年末、ラディアント・キャピタルは、北朝鮮のハッカーが請負業者の報告書を装ったマルウェアを通じて従業員の端末に感染させ、5,000万ドルの損失を被った。

昨日のラディアント・キャピタルの5,000万ドルのハッキングは、攻撃者が複数のチームメンバーのコンピューターをトロイの木馬に感染させた後に発生した。

チームメンバーは画面上で良好なマルチシグデータを確認したが、ハードウェアウォレットは不正なデータに署名していた。1/7pic.twitter.com/zE7Hk0zN22
ダニエル・フォン・ファンゲ (@danielvf)2024年10月17日