Contagious Interviewキャンペーンの背後にいる北朝鮮の脅威アクターは、Webブラウザやその他のファイルから認証情報を窃取する機能を備えたクロスプラットフォームマルウェア「OtterCookie」の更新版を使用していることが確認されています。
NTTセキュリティホールディングスは、新たな調査結果を詳細に報告し、攻撃者がこのマルウェアを「積極的かつ継続的に」更新し、2025年2月にバージョン3、4月にバージョン4を導入したと述べています。
この日本のサイバーセキュリティ企業は、「WaterPlum」という名前でこのクラスターを追跡しています。このクラスターは、CL-STA-0240、DeceptiveDevelopment、DEV#POPPER、Famous Chollima、PurpleBravo、Tenacious Pungsanとしても知られています。
OtterCookieは、2024年9月以降の攻撃で確認された後、昨年NTTによって初めて文書化されました。悪意のあるnpmパッケージ、トロイの木馬化されたGitHubまたはBitbucketリポジトリ、または偽のビデオ会議アプリを介してJavaScriptペイロードによって配信され、外部サーバーに接続して侵害されたホストでコマンドを実行するように設計されています。
OtterCookie v3には、事前定義された拡張子セットに一致するファイルを外部サーバーに送信するための新しいアップロードモジュールが組み込まれていることが判明しました。これには、環境変数、画像、ドキュメント、スプレッドシート、テキストファイル、および暗号通貨ウォレットに関連付けられたニーモニックおよびリカバリフレーズを含むファイルが含まれます。
このモジュールは、以前はOtterCookie v2でサーバーから受信したシェルコマンドとして実行されていたことを指摘しておく価値があります。
このマルウェアの4番目のバージョンは、Google Chromeから認証情報を窃取するモジュールと、Google Chrome、Braveブラウザ、iCloudキーチェーンのMetaMask拡張機能からデータを抽出するためのモジュールを2つ追加することで、前バージョンを拡張しています。
OtterCookie v4に追加されたもう1つの新機能は、Broadcom VMware、Oracle VirtualBox、Microsoft、QEMUなどの仮想マシン(VM)環境で実行されているかどうかを検知する機能です。
[
](http s://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitPb3lVlA4H6uESOvthXKg_gbwJVJs0b-gaKBjLHLH0XKaDtrCMHTJKWh-luBas9Ma2a7QjEj9DjzUodKQctBPL6LIS4-ms96WyNK_4Zug9p2AyaILKO9atbsvl5DLLBv-hJtxX8wiDQXHgNKAyZZthITDPnLeadfAW0j3aC6GOxDO27NKomHGlQnZQKEv/s728-rw-e365/checks.png)
興味深いことに、 Google Chromeの認証情報を収集する最初のスティーラーモジュールは、認証情報を復号してから収集するのに対し、2つ目のモジュールはChromeやBraveなどのブラウザから暗号化されたログインデータを収集することが判明しました。
「データ処理やコーディングスタイルの違いは、これらのモジュールが異なる開発者によって開発されたことを示唆しています」と、研究者の元田正也氏と小池倫太郎氏は述べています。
この情報開示は、ここ数ヶ月の間に「Contagious Interview」キャンペーンに関連する複数の悪意のあるペイロードが発見されたことを受けてのものであり、脅威アクターが手口を洗練させていることを示唆しています。
これには、Realtekのドライバアップデート(「WebCam.zip」)を装って配信されるGoベースの情報スティーラーが含まれており、これを開くとシェルスクリプトが実行され、スティーラーのダウンロードと、被害者のmacOSシステムパスワードを収集するように設計された偽のmacOSアプリケーション(「DriverMinUpdate.app」)の起動を行います。
このマルウェアは、Sekoiaが先月行ったClickFake Interviewというコードネームで呼ばれる活動のアップデート版の一部として配布されたと�考えられています。これは、就職面接プロセスのオンライン評価中に、存在しない音声や動画の問題を修正するためにClickFix風のルアーが使用されていたためです。
「このスティーラーの主な役割は、永続的なC2チャネルを確立し、感染したシステムのプロファイリングを行い、機密データを盗み出すことです」と、MacPawのサイバーセキュリティ部門であるMoonlockは述べています。「システム偵察、認証情報の窃取、リモートコマンド実行を組み合わせることでこれを実現します。」
アプリケーション DriverMinUpdate は、dmpdump、SentinelOne、ENKI、Kandji によって発見された ChromeUpdateAlert、ChromeUpdate、CameraAccess、DriverEasy などの より大規模な 類似の 悪意のあるアプリ の 大規模な セット の一部であると評価されています。
Aこのキャンペーンに関連する2つ目の新たなマルウェアファミリーはTsunami-Frameworkで、既知のPythonバックドアInvisibleFerretのフォローアップペイロードとして配信されます。.NETベースのモジュール型マルウェアであるこのマルウェアは、Webブラウザや暗号通貨ウォレットから幅広いデータを窃取する機能を備えています。
ドイツのセキュリティ企業HiSolutionsが先月末に公開したレポートによると、キーストロークのログ記録、ファイルの収集、さらには開発初期段階と思われるボットネットコンポーネントも組み込まれています。
ESETによると、「伝染性インタビュー」は、北朝鮮の悪名高いハッカー集団であるLazarus Groupの一部である新たな活動集団であると考えられています。同集団は、国家の戦略目標を推進し、国際的な制裁を回避する手段として、スパイ活動と金銭目的の両方の攻撃を組織してきた歴史があります。
今年初め、この敵対的集団は、暗号通貨プラットフォームBybitから記録的な10億ドルの強盗を実行したとされています。
北朝鮮のIT労働者への脅威は依然として続く#
サイバーセキュリティ企業Sophosは、北朝鮮の不正IT労働者スキームの背後にいる脅威アクター(別名Famous Chollima、Nickel Tapestry、Wagemole)が、雇用を確保し、その収益を平壌に還流させるために、ヨーロッパやアジアの組織、そしてテクノロジー分野以外の業界をますます標的にし始めていることを明らかにしました。
この計画を実行するために、脅威アクターはXing、Upwork、Toptal、9amなどの求人サイトに偽造プロフィールを大量に掲載し、LinkedInなどのソーシャルメディアサイトにもAI生成のストック画像を掲載することで知られています。
「就職活動の段階を通して、脅威アクターは偽造履歴書やLinkedInプロフィール、過去の職歴やグループプロジェクトの申請に添付する写真にデジタル加工を施すことがよくあります」と、同社のSecureworks Counter Threat Unit (CTU)は述べています。(https://news.sophos.com/en-us/2025/05/08/nickel-tapestry-expands-fraudulent-worker-operations/)
「彼らはストック写真に自身の実写画像を重ね合わせることがよくあります。また、脅威アクターはライティングツール、画像編集ツール、履歴書作成ツールなど、生成AIの利用も増加しています。」
不正就労者は就職後、リモートアクセスにマウスジグラーユーティリティ、Astrill VPNなどのVPNソフトウェア、KVM over IPなどを使用していることが判明しており、中には画面共有のために8時間にも及ぶZoom通話に頼っているケースもある。
サイバーセキュリティ企業のReliaQuestは、多要素認証(MFA)デバイスにおいて、OppoやVivoなどの中国製ブランドが頻繁に識別されるという「繰り返し発生する傾向」を発見し、複数の北朝鮮内部関係者が同じ固定IPアドレスから認証していることが明らかになったと述べた��。
「北朝鮮の国家支援を受けた工作員は、特にフルスタックウェブ開発職に就く熟練IT労働者を装って欧米企業に侵入している」と、脅威アクターの手口に焦点を当てた最新レポートで指摘されている。
「これらの工作員は、AIが生成した偽のプロフィール、盗まれたID、そしてAstrill VPNやIP-KVMデバイスなどのツールを用いて、目立たぬまま北朝鮮の兵器プログラムに資金を提供している。彼らの戦術はBYODポリシーなどの脆弱性を悪用しており、北朝鮮のサイバー作戦の高度化と、厳格な候補者審査と位置情報に基づくログイン監視の緊急の必要性を浮き彫りにしている。」
先週、仮想通貨取引プラットフォームKrakenは、北朝鮮のハッカーがSteven Smithという名前を使って同社に侵入しようとしていたことを発見し、エンジニア職の通常の採用面接が情報収集作戦に変貌した経緯を明らかにしました。
同社は「候補者はリモートで設置されたMacデスクトップを使用していましたが、他のコンポーネントとはVPN経由でやり取りしていました。VPNは位置情報やネットワークアクティビティを隠すために一般的に用いられる設定です」と述べています([https://blog.kraken.com/news/how-we-identified-a-north-korean-hacker])。「候補者の履歴書は、過去のデータ侵害で漏洩したメールアドレスを含むGitHubプロフィールにリンクされていました。」
「候補者の主なIDは改ざんされていたようで、2年前の個人情報窃盗事件で盗まれた情報を使用している可能性があります。」
しかし、Krakenは、応募者の応募を完全に却下するのではなく、セキ��ュリティチームと採用チームが面接プロセスを「戦略的に」進め、候補者の所在地を確認させ、政府発行の身分証明書を提示させ、彼らが滞在していると主張する都市内のレストランをいくつか推薦させることで、彼らを罠にかけようとしたと述べています。
「彼らは動揺し、不意を突かれたため、基本的な確認テストにも苦戦し、居住地や国籍に関するリアルタイムの質問に納得のいく答えを出すことができませんでした」とKrakenは述べています。「面接が終わる頃には、真実は明らかでした。これは正当な応募者ではなく、当社のシステムに侵入しようとしている偽者だったのです。」
先月、米国司法省(DoJ)が記録した別の事例では、メリーランド州在住の40歳の男性ミン・フォン・ゴック・ヴォンが、政府の請負業者に職を確保した後、中国・瀋陽在住の北朝鮮国籍者に業務を外注し、詐欺罪で有罪を認めた。これは、違法な資金調達活動の深刻さを浮き彫りにしている。
北朝鮮は、いわゆる「ラップトップファーム」を運営する仲介者の助けを借りて、数千人もの労働者を密かに大企業に送り込む能力を持っているため、日本、韓国、英国、米国の各国政府から繰り返し警告が出されている。
ソフォスのCTU北朝鮮・新興脅威担当リーダーであるサラ・カーン氏は、Hacker Newsに対し、仲介者はLinkedInやフリーランスの求人サービスを通じて採用されていると語った。
「採用さ�れた仲介者は、最終的にこの計画の共犯者になる前に、合法的な雇用機会を得るためにこれらのサイトにアカウントを持っていたことが多い」とカーン氏は説明した。「脅威アクターは、様々な仲介者に、面接の代行、企業からのラップトップの受け取り、公文書の偽造、給与の振り込みなど、多岐にわたる業務を依頼している。」
これらの労働者は組織内で最大14か月間過ごし、解雇後にはデータ窃盗や恐喝の脅迫も行っていることが判明している。
「しかし、NICKEL TAPESTRY作戦の最初の数年間は、恐喝の意図は見られなかった」とカーン氏は述べた。「金銭的な困窮、機密データへのアクセスレベル、そして長年にわたり利用されてきた偽のペルソナの価値や繁栄はすべて、脅威アクターが不正な従業員となる動機に影響を与える可能性がある。」
ソフォスは、「組織は面接プロセスの一環として、強化された本人確認手順を確立する必要がある」と述べた。「人事担当者と採用担当者は、これらのキャンペーンで使用された戦術について定期的に最新情報を入手し、潜在的な北朝鮮の不正IT労働者を特定できるようにする必要がある。」
さらに、組織は、従来型のインサイダー脅威活動、正規ツールの不審な使用、そしてあり得ない移動に関するアラートを監視し、不正な従業員に関連することが多い活動を検知する必要があります。
(この記事は2025年5月14日の公開後に更新され、ソフォスから提供された追加の知見が反映されています。)