北朝鮮のサイバー犯罪グループがLinkedInで活動中か。正規の採用担当者を装う

UNC2970のWordドキュメント

　セキュリティ企業のMandiantは、北朝鮮と思われるサイバー犯罪グループがLinkedInで米国のテクノロジー企業を中心としたフィッシング活動「UNC2970」を行なっていることを検出したという。

　UNC2970ではLinkedInで採用担当者を装い、偽のアカウントを使用して直接ユーザーに接触する。これらのアカウントは信頼性や会話/交流の可能性を高めるために、正当なユーザーの身元を模倣しているという。そしてこのアカウントを使いソーシャルエンジニアでターゲットをWhatsAppでも繋がりを持つようにさせる。その後、電子メールまたはWhatsApp経由でフィッシングのペイロードを電子メールで配信しているという。

　フィッシングではまず標的に職務内容を装ったMicrosoft Wordのドキュメントを送る。このドキュメントにはリモートコマンドアンドコントロール(C2)を介してペイロードを読み込んで実行する、リモートテンプレートインジェクション付きマクロが埋め込まれていたという。

　また、配信されたZIPファイルには、スキル評価テストであると考えられたものが含まれていたが、実際はISOファイルがあり、LIDSHIFTとして知られているトロイの木馬入りTightVNCアプリケーションだった。標的はこのアプリケーションを実行するよう指示されていたという。

　LIDSHIFTは正規のTightVNCビューアとして機能するだけでなく、複数の隠し機能がある。被害者のユーザー名とホスト名をハードコーディングされたC2にビーコンとして送るもの、暗号化されたDLLをメモリに挿入してIPアドレスなどをC2に送るものだけでなく、ドロッパーをインストールして、さらなるキーロガーやスクリーンショットを取得するツールまで展開していたという。

メモリ内で解凍されたペイロードの開始

　MandiantではAzure ADの保護の強化や多要素認証の適用、Intuneへのアクセスの制限、Officeのマクロの制限、ディスクイメージの自動マウントの無効化といった手段で影響を軽減できるとしている。