シスコ・タロス：北朝鮮系ハッカーグループ『Famous Chollima』が仮想通貨業界の求職者を偽求人サイトで標的とする新種のPythonマルウェア『PylangGhost』を確認

シスコの脅威インテリジェンス部門であるシスコ・タロスは、PYTHonベースの新種マルウェア『PylangGhost』を検出しました。これは北朝鮮系ハッカーグループ『Famous Chollima』に関連付けられています。

シスコ・タロスの最新ブログ記事によると、PylangGhoStは仮想通貨業界での職を求める人々のハードウェアに侵入するため、北朝鮮系サイバー脅威アクターによって独占的に使用されています。

PylangGhostはPythonベースの新しいリモートアクセス型トロイの木馬（RAT）で、2024年12月にシスコ・タロスが発見したGolangGhost RATと同様の機能を持ちます。

最近の調査では、このマルウェアがFamous ChollimaによってWindowsシステムへの侵入に積極的に使用されている一方、MacOSユーザー向けにはGolangベースのバージョンが継続的に配布されていることが判明しました。オープンソースデータによると、現在までに確認された被害者の多くはインド在住です。

Famous Chollimaは『Wagemole』の異名を持ち、これは偽の求人情報を通じてパスワードの窃盗や仮想通貨ウォレットへの侵入、その他の機密情報の取得を繰り返す手口に由来します。

北朝鮮系ハッカーの標的獲得手法

報告書によると、攻撃者はソーシャルエンジニアリングを用いた偽の求人面接キャンペーンで被害者を誘い込みます。Coinbase、Robinhood、Uniswapなどの主要仮想通貨企業を装った偽求人サイトを作成し、被害者は偽の採用担当者による複数段階のプロセスに参加させられます。

その後、被害者はスキルテストと称する偽サイトへ誘導され個人情報を収集されます。面接準備として、カメラとマイクのアクセス許可を求められ、偽の採用担当者は『動画ドライバーの更新』と称して悪意あるコマンドの実行を指示します。

コマンド実行によりマルウェアが端末に侵入。これにより攻撃者は感染端末の遠隔操作権限を取得し、80以上のブラウザ拡張機能からクッキーや認証情報を盗み出します。

被害対象にはパスワードマネージャーや仮想通貨ウォレット（MetaMask、1Password、NordPass、Phantom、Bitski、Initia、TRONLink、MultiverseXなど）が含まれます。

仮想通貨メディアが4月に報じたように、別の北朝鮮系ハッカー集団LazARus Groupも同様の手法でユーザーを誘い込み、少なくとも3種類のマルウェアを使用していたことが確認されています。

翻訳者: Str1k3r