テクニカルブログ WaterPlumが使用するマルウェアOtterCandyについて

A North Korean-linked group, WaterPlum’s Cluster B, has evolved its tactics by introducing OtterCandy—a Node.js–based RAT and information stealer.

A North Korean threat actor is supplying stolen developer information to the country’s horde of fraudulent IT workers, ESET reports.

DeceptiveDevelopmentキャンペーンの背後にいる北朝鮮の脅威アクターが、盗まれた開発者情報を同国の詐欺的なIT労働者集団に提供しているとESETが報告しています。 2月に初めて詳細が明らかにされましたが、少なくとも2023年から継続しているDeceptiveDevelopmentキャンペーンは、暗号通貨や分散型金融プロジェクトに関わる開発者を標的に、情報窃取やマルウェア感染を目的とした偽の求人を仕掛けています。 Operation Dream Job、Contagious Interview、ClickFake Interviewと同様に、DeceptiveDevelopmentはLinkedIn、Upwork、Freelancer.comなどの人気プラットフォームで偽の求人情報を掲載し、開発者を誘い込んでいます。 これらの攻撃の一環として、被害者が偽リクルーターと接触した後、面接に招待され、その際にマルウェアを実行するように騙されます。 これらの攻撃の多くは暗号通貨開発者を標的としており、過去の調査では、被害者の暗号資産の窃取や、被害者が所属する組織への侵入による金銭的利益が目的であると考えられていました。 ESETによると、これらのキャンペーンには第二の目的もあります。偽リクルーターが開発者の身元情報を収集し、北朝鮮の詐欺的なIT労働者と関連するグループに渡しており、これらのグループはその情報を使って求職者になりすまし、無防備な企業でリモートワークの職を得ています。 「実際の職を得るために、彼らはいくつかの戦術を用いることがあり、代理面接、盗んだ身分の利用、AI駆動ツールによる合成身分の作成などが含まれます」とESETは指摘しています。 ソーシャルエンジニアリングや偽リクルーターのプロフィールを使い、DeceptiveDevelopmentの脅威アクターは、BeaverTail、InvisibleFerret、OtterCookieなどのマルウェアで被害者のシステムを感染させることを目的とした、魅力的な偽求人を提供しています。 広告。スクロールして続きをお読みください。 昨年、攻撃者はWeaselStore（GolangGhostやFlexibleFerretとも呼ばれる情報窃取型バックドア）、そのPython版であるPylangGhost、そして暗号通貨マイナーも投下する複雑な.NETスパイウェアTsunamiKitを使用しているのが確認されました。 今年4月には、LazarusのPostNapTea RATと大きなコードの共通点を持つTropidoorが展開されているのが確認されました。8月には、Akdoorの亜種であるAkdoorTeaが確認されました。 ESETによるDeceptiveDevelopmentの調査では、サイバーセキュリティ企業がWageMoleとして追跡している、北朝鮮の詐欺的なIT労働者ネットワークとの緊密な連携が明らかになりました。 「これらの活動は2つの異なるグループによって実行されていますが、ほぼ確実に相互に関連し、協力していると考えられます」とサイバーセキュリティ企業は調査報告書（PDF）で述べています。 チームで活動するIT労働者たちは、主に米国など西側諸国での仕事獲得に注力しています。ヨーロッパでは、フランス、ポーランド、ウクライナ、アルバニアが標的となっています。 「各チームには専任の『ボス』が存在し、チームの運営を監督し、メンバーにノルマを課し、業務を調整しています。メンバーの主な責任は、仕事の獲得、業務の遂行、スキル向上のための自己学習です」とESETは指摘しています。 北朝鮮のIT労働者は、プログラミング職の獲得だけに注力しているわけではないとサイバーセキュリティ企業は述べています。中には土木工学や建築分野にも進出し、実在する企業や技術者になりすまして、偽の承認印が押された設計図を作成する者もいます。 「彼らは自己学習にも注力しており、主にウェブプログラミング、ブロックチェーン、英語、そして近年ではAIの各種ウェブアプリケーションへの統合に関する、無料で公開されているオンライン教材やチュートリアルサイトを利用して学習していると報告しています」とESETは述べています。 関連記事: 米国、北朝鮮IT労働者を支援するロシア人と中国企業に制裁 関連記事: RaccoonO365フィッシングサービスが妨害され、リーダーが特定される 関連記事: OODAループを活用したシャドーAI問題への対応 関連記事: バーン＆チャーン：CISOとサイバーセキュリティ自動化の役割 翻訳元:

Cybersecurity researchers have provided insight into a persistent threat cluster linked to the well-known North Korean state-sponsored hacker outfit Lazarus.

A New Breed of Cyber Espionage Unveiled A chilling new report from Lazarus Sekoia’s investigation exposes a campaign that blends emotional exploitation with digital aggression. The so-called ClickFake Interview tactic preys on job seekers in the fast-growing crypto and tech sectors, luring victims with what appear to be legitimate job offers or interview invites. Behind these fake recruitment messages lies a meticulously crafted strategy to convince recipients to download malware-laced content under the guise of interview preparation.

Cybersecurity researchers have provided insight into a persistent threat cluster linked to the well-known North Korean state-sponsored hacker outfit Lazarus.

Lazarus Group deploys GolangGhost via fake job interviews using ClickFix, targeting Windows/macOS users with finance roles.

Jan Philipp Fritsche of Oak Security says that Web3 should stop ignoring basic OPSEC hygiene, especially as the state-sponsored threat rises. As North Korea's "Clickfake" campaign draws new attention to crypto companies' cyberattacks, security experts say the biggest vulnerability in Web3 is not smart contracts, it is people. In a note to Crypto.News, Oak Security's Managing Director Jan Philipp Fritsche argued that most blockchain projects do not even have the most basic operational security standards.

Oak Security’s Jan Philipp Fritsche says Web3 needs to stop ignoring basic OPSEC hygiene, especially as state-sponsored threats rise. As North Korea’s “ClickFake” campaign draws renewed attention to cyberattacks on crypto firms, security experts say Web3’s biggest vulnerability isn’t smart contracts — it’s people. Jan Philipp Fritsche, Managing Director at Oak Security, argued in a note to crypto.news that most blockchain projects lack even the most basic operational security standards.  Fritsche, a former European Central Bank analyst who now advises and audits protocols says the real risk lies in how teams manage devices, permissions, and production access.

Discover how Lazarus leverages fake job sites in the ClickFake Interview campaign targeting crypto firms using the ClickFix tactic.

Jan Filipsche Oak Security Fritches says that the Web3 should stop ignoring the basic hygiene of the scope, especially how the threats sponsored by States increases. As "Clickfake" North Korea " campaign approaching restored care to Ciberattacks About Crypto companies, security experts say that the greatest vulnerability of the Web3 is not a smart contract - these are people. Jan Philipp Fritche, General Director of Food Security, claimed in CRIPTO.NEVs that most Blokchain projects lack even the most basic operational…

North Korean threat actors have adopted the ClickFix social engineering tactic to target job seekers in the cryptocurrency sector. The scheme, dubbed ClickFake Interview, uses fake job interviews to install malware on Windows and macOS systems, marking a shift in targeting centralized finance entities. Beware: your dream job could be a nightmare!

北朝鮮のAPTグループLazarusは、CeFi（中央集権金融）を標的とする新たなキャンペーンClickFix戦術を採用するようになっていると、Sekoiaが報告。同社が「ClickFake」と名付けたこのキャンペーンは、遅くとも2022年12月から続いている「Contagious Interview」キャンペーンの一環だと考えられるという。

Discover how Lazarus leverages fake job sites in the ClickFake Interview campaign targeting crypto firms using the ClickFix tactic.

New “ClickFake Interview” campaign attributed to the Lazarus Group targets crypto professionals with fake job offers