ラザルスが米国にダミー会社を設立し就職面接でマルウェア拡散
北朝鮮のラザルス(Lazarus)グループのサイバースパイが、偽名を使って米国にダミー会社を設立し、仮想通貨開発者にマルウェアを感染させていると主張している。
大手メディアロイター通信の報道によると、米国のサイバーセキュリティ企業Silent Push(サイレント・プッシュ)が4月24日に発表したレポートによると、北朝鮮のハッカーグループに由来する3つのダミー会社を特定。「Blocknovas LLC」、「Softglide LLC」、「Angeloper Agency」で、求人広告を装ってマルウェアを拡散する目的で設立。3社のうちBlockNovasとAngeloper Agency の2社は、ニューメキシコ州とニューヨーク州に偽名と住所が登録され、設立されている。この2社は、米国で合法企業として登録されており、ハッカーはこれを信用性に見せかけ、求職者を騙すために利用している。
同メディアはさらに調査を進め、サウスカロライナ州ウォーレンビルにあるBlocknovasの住所はGoogleマップ上で空き地として表示されているもので、一方のニューヨーク州バッファローにあるSoftglideの住所は、小規模税務署の建物となっていたという。さらに、これらの会社の連絡先リストに記載されている担当者は見つかっていない。
求人詐欺サイトによるマルウェアインストールまでの手口
Silent Pushのシニア脅威アナリスト、ザック・エドワーズ(Zach Edwards)氏によると、この求人詐欺は、ウェブサイトや、人気の求人・フリーランサープラットフォーム上の膨大なアカウントネットワークを通じて行われている。
Our team at Silent Push has been hard at work on the largest report we’ve ever made public – and along with Reuters – today we’re explaining how North Korean threat actors associated with the “Contagious Interview” subgroup created 3 front companies…🧵
— Zach Edwards (@thezedwards) April 24, 2025
Silent Pushのチームは、これまでで最大の公開レポートの作成に全力で取り組んできました。そして本日、ロイター通信と共同で、「Contagious Interview」サブグループに所属する北朝鮮の脅威アクターが、どのようにして3つのフロント企業を作ったのかを説明します…
被害者候補が求人に応募すると、自己紹介ビデオの録画中にエラーが発生し、悪意のあるリンクをクリックするように誘導し、クリイクさせられる。このリンクをクリックすると、BeaverTail、InvisibleFerret、OtterCookieなどのマルウェアがインストールされ、詐欺師たちは、実在の人物の写真を加工したものを含むAI(人工知能)で生成された偽従業員の画像を使用することで、偽企業の信憑性を高めている。
エドワーズ氏は、このキャンペーンは2024年から実行されており、すでに被害者がいると指摘。ある開発者は、攻撃が成功した後、MetaMaskウォレットが盗まれたと報告している。FBI(Federal Bureau of Investigation:米国連邦捜査局)は介入し、偽企業の少なくとも1社であるBlockNovasを閉鎖したが、SoftGlideなどの関連インフラは依然として稼働している状態だ。
今マルウェア攻撃キャンペーンは米国で法人を設立した稀有な例
「Contagious Interview(コンテージャス・インタビュー)」として知られる北朝鮮のハッカー集団が仕掛けたこのマルウェア攻撃キャンペーンは、偽の就職面接プロセスを利用して被害者を誘い込む算段となっている
Silent Pushの脅威情報担当ディレクター、ケイシー・ベスト(Kasey Best)氏は、これを「北朝鮮のハッカーが実際に米国で法人を設立した稀有な例」と呼びんでいる。同氏は、ラザルスグループのハッカーが、北朝鮮のサイバー活動に関連する少なくとも3種類のマルウェアを検知し、偽求人応募書類を通じてユーザーに感染させようとしていた方法を説明していた。
悪意のあるサイバー攻撃では、偽の別名を使って仮想通貨やWeb3開発者候補者に面接の機会を提供し、開発者の仮想通貨ウォレットに侵入するように設計された高度なマルウェアを展開しており、同氏は、次のように述べている。
彼らはまた、開発者のパスワードや認証情報も標的にしており、それらは合法的な企業へのさらなる攻撃に利用される可能性があります。
求人詐欺サイトの背後にはラザルスが
これらダミー企業の背後にいるハッカーは、ラザルス・グループのサブグループに属しているとされている。
ラザルス・グループは、過去最大規模の仮想通貨ハッキング事件の首謀者として知られており、最大15億ドルの損失をもたらしたバイビット(Bybit)ハッキング事件や、ローニン・ネットワークへの6億ドルの攻撃など、仮想通貨業界における最大規模のハッキングに関与していることで知られている。
今回発覚したダミー会社と北朝鮮ハッカーグループとの関連性について質問されたニューヨーク州務省は、州内で登録されている企業についてはコメントを控えました。その一方で、ニューメキシコ州務長官事務所はロイター通信に対し、同企業と北朝鮮のつながりについて知る由もないとメールで回答している。
なお、2025年4月24日(木曜日)、FBIはBlocknovasのウェブサイトにドメイン差し押さえ通知の掲載を開始し、次のように記している。
このドメインを利用して偽の求人広告で個人を欺き、マルウェアを拡散した北朝鮮のサイバー犯罪者に対する法執行措置の一環として。
