北朝鮮のサイバー工作員は、米国で静かに2つの限定的な企業を設立し、ロイターと共有されている米国の法的申告と調査によると、職務を求めるソフトウェアエンジニアに有害なコードを滑らせるためにそれらを使用しました。
サイバーセキュリティ会社であるSilence Pushは、ニューメキシコのBlockNovas LLCとニューヨークのSoftglide LLCは、ハッカーがマルウェアを申請者に送信しながら正当な雇用主のように見えるように、構成名とレンタルアドレスで構築されたと言います。 3番目の会社であるAngeloper Agencyは、IdentWebフィンガープリントを運びましたが、米国の企業登録簿には登場しませんでした。
に使用される企業戦線を作成するために、実際に米国の法人企業を設立した北朝鮮のハッカーのまれな例です。
米国連邦捜査局は、両社について直接議論しません。しかし、木曜日に、局はBlockNovasのウェブサイトに押収通知を投稿しました。この領域は、「このドメインを利用して偽の雇用投稿で個人を欺き、マルウェアを配布するためにこのドメインを利用した北朝鮮のサイバーアクションの一部として」と述べました。
テイクダウンの前に、FBIの高官は、代理店が「DPRKの俳優自身だけでなく、これらのスキームを実施する能力を促進している人にリスクと結果を課すことを目指していると語った。
ある当局者は、北朝鮮のハッキングユニットを「おそらく最も先進的な持続的な脅威の1つ」と呼んだ。
Silent Pushによると、攻撃者はリクルーターとしてポーズをとり、ターゲットが悪意のあるファイルを開く必要があるインタビューを提供しました。
BlockNovasとSoftglideはジョブ広告を使用してマルウェアを暗号開発者にスリップしました
発売されると、ファイルは暗号通貨のウォレットキー、パスワード、その他のCredentialを収穫しようとしました。
同社の未発表の報告書は、「複数の被害者」を確認しており、そのほとんどはブロックノバを介してアプローチしました。これは、研究者が3つの面の中で「はるかに活発な」と説明しています。
州の記録によると、BlockNovasは2023年9月27日にニューメキシコで登録されました。その書類には、サウスカロライナ州ウォーレンビルの郵便住所が記載されています。
ニューヨークでのSoftglideの組み込みは、バッファローの小さな税務準備オフィスに登録さ tracています。どちらのファイリングにも名前が表示されている人々の tracはありませんでした。
米国当局者は、このパターンが硬貨を上げるためのより広い北朝鮮のプッシュに適合していると言います。ワシントン、ソウル、および国連の専門家は、平壌が暗号を盗み、海外の数千人の情報技術労働者を派遣して、国の原子力ミサイルプログラムをバンクロールしたと非難してきました。
米国内で北朝鮮が支配している会社を運営することは、財務省の外国資産管理局(OFAC)によって課された制裁を破ります。北朝鮮の州または軍隊に利益をもたらす商業活動を禁止するための国連安全保障理事会の措置に違反しています。
マルウェア層のジョブファイルは、Lazarusグループにリンクされています
ニューメキシコ州長官は、登録エージェントを使用してオンライン国内LLCシステムを通じて提出され、州の規則を満たしているように見えると、ブロックノバが提出されたとメールで述べた。 「私たちのオフィスが北朝鮮との関係を知る方法はないだろう」と代表は書いた。
、平壌の主要な外国語総会である偵察将軍局に答えるエリートハッキングチームであるラザログループのサブグループに活動をリンクしています
サイレントプッシュIは、悪意のあるジョブファイル内で、以前に既知の少なくとも3つのマルウェアファミリを浸しdentた。このツールは、感染したマシンからデータを引き出し、さらなる侵入のためにドアを開けて、過去のラザロアクティビティでよく見られるプレイブックである追加の攻撃コードをダウンロードできます。
今のところ、BlockNovasのドメインは連邦の押収の下にあり、SoftglideのWebサイトはオフラインであり、Angeloper Agencyのページはエラーを返します。しかし、捜査官は、新しいエイリアスが迅速に表示される可能性があると警告しています。
「この操作は、DPRKサイバー俳優によってもたらされる継続的に進化する脅威を示しています」とFBIはその声明で述べ、テクノロジーの専門家に未承諾の求人の申し出を精査し、疑わしいアウトリーチを報告するよう促しました。
キーの違いワイヤ:保証されたメディアの報道を取得するために使用する秘密のツールCryptoプロジェクト
