Mandiantは9月14日(米国時間)、「It's Time to PuTTY! DPRK Job Opportunity Phishing via WhatsApp|Mandiant」において、北朝鮮との関連が疑われる脅威グループによって新しいフィッシング詐欺が展開されていると伝えた。「UNC4034」と呼ばれる脅威グループがWhatsAppを介して被害者とコミュニケーションを取り、偽の求人情報に関する不正なISOパッケージをダウンロードさせ、トロイの木馬化されたPuTTYユーティリティを介してバックドア型マルウェアを展開させていることが明らかとなった。
-
It's Time to PuTTY! DPRK Job Opportunity Phishing via WhatsApp|Mandiant
この脅威グループがメールを通じてAmazonでの仕事の機会を提供するという偽の求人情報を被害者に送り、コミュニケーションを取ることが判明した。その後、WhatsAppで連絡を取りあい、Amazonの採用評価を装ったamazon_assessment.isoという名前のISOアーカイブファイルをダウンロードさせようとするという。このアーカイブファイルには、IPアドレスとログイン情報を含むテキストファイルとトロイの木馬化された改良版PuTTYの2つのファイルが含まれており、このPuTTYを実行すると「AIRDRY.V2」と呼ばれるバックドア型マルウェアが実行されるとのことだ。
さらに、UNC4034と北朝鮮との関連が疑われる脅威グループとの間に複数の共通点があることが確認されている。AIRDRY.V2のコマンド&コントロール(C2: Command and Control) サーバは、以前北朝鮮との関連が疑われる脅威グループが利用しており、危険なWebサイトのインフラストラクチャに属していることが特定されている。
このキャンペーンの詳細調査によって、さらなるエクスプロイト活動が行われる前に侵害に使われていたホストの封じ込めに成功したと報告されている。また、Mandiantの検知および脅威ハンティング能力は継続的に進化しており、新しく斬新な脅威者の活動を常に発見していくと伝えている。
