社用PCで転職用の課題に取り組んだら実は北朝鮮ハッカー集団「Lazarus」による攻撃で会社全体が被害に遭う事態に

北朝鮮ハッカー集団「Lazarus(ラザルス)」がMetaの採用担当者を装って転職希望者向けにコーディング課題を出題し、トロイの木馬「LightlessCan」を転職希望者のPCに仕込んでいたことが判明しました。ESETがまとめた事例報告では、スペインの航空宇宙企業で働く従業員が社用PCに偽課題をダウンロードし、会社のネットワークが侵害されたことが明らかになっています。

Lazarus luring employees with trojanized coding challenges: The case of a Spanish aerospace company
https://www.welivesecurity.com/en/eset-research/lazarus-luring-employees-trojanized-coding-challenges-case-spanish-aerospace-company/

Lazarusは北朝鮮を背景とするハッカー集団で、2014年に発生したソニー・ピクチャーズ・エンタテインメントへのハッキングや2017年に猛威を振るったランサムウェア「WannaCry」の開発など数多くのサイバー攻撃に関わっていることが知られています。また、2022年には金融庁と警察庁と内閣サイバーセキュリティセンター(NISC)がLazarusを「北朝鮮当局の下部組織とされる、ラザルスと呼称されるサイバー攻撃グループ」と記して北朝鮮とのつながりを明確に宣言する異例の対応を取っています。

北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)
(PDFファイル)https://www.npa.go.jp/bureau/cyber/pdf/R041014_cyber_alert.pdf

Lazarusは2023年時点での活発に活動を続けており、新しい攻撃手法を次々と編み出しています。新たにESETが報告した手法は「大手IT企業の採用担当者を装い、悪意あるファイルを仕込んだコーディング課題を採用希望者にダウンロードさせる」というもので、「社用PCを転職活動に利用している人」が攻撃対象になっていたとのこと。

被害の例は以下の通り。まず、LazarusのメンバーがMetaの採用担当者を装ってビジネス特化SNS「LinkedIn」上で転職希望者に連絡を取っていました。LinkedIn上で交わされたメッセージを確認すると、攻撃者(Attacker)がMetaの採用担当者スティーブ・ドーソンを名乗り、被害者(Victim)にフレンド申請を送った上で友好的なチャットを交わしていることが分かります。

攻撃者は自身がMetaの採用担当者であることを被害者に信じ込ませた後、採用試験用のコーディング課題を解くように求めました。コーディング課題は「実行ファイルをダウンロードして実行し、ロジックを理解して、同じ動作のコードをC＋＋で記述する」というもので、課題の実行ファイルは「Quiz1.isoに格納されたQuiz1.exe」と「Quiz2.isoに格納されたQuiz2.exe」の2個が用意されており、Quiz1.exeは「『Hello, World!』を出力する」、Quiz2.exeは「フィボナッチ数列を出力する」という簡単なものだったとのこと。

Quiz1.isoやQuiz2.isoには課題の実行ファイル以外に悪意あるファイルの導入機能が仕込まれており、被害者が課題内容を確認するためにQuiz1.exeやQuiz2.exeを実行すると悪意あるファイルがPC内で実行される仕組みでした。悪意あるファイルにはインターネット上からマルウェアをダウンロードする機能を備えた「NickelLoader」が含まれており、被害者のPCでNickelLoaderが実行された結果、Lazarusがこれまで用いてきたリモートアクセス型トロイの木馬「BlindingCan」の後継プログラムである「LightlessCan」がダウンロードされてしまいました。

被害者のPCにLightlessCanを仕込むことに成功したLazarusは被害者が務める航空宇宙企業のネットワークへのアクセス権を獲得したとのこと。ESETはLazarusの最終目標は航空宇宙産業を対象にしたサイバースパイ活動であったと推測しています。