北朝鮮ハッカー集団ラザラス、アジア圏の仮想通貨取引所に侵入か：MacOS向けマルウェアで巧妙な手口

北朝鮮ハッカー集団の仕業か

北朝鮮政府との繋がりを疑われる「ラザラス (Lazarus) グループ」は、研究者から、過去10年間で発生した数多くのサイバー事件の主犯であると指摘されており、韓国の大手仮想通貨取引所Bithumbをはじめとする一連のハッキングに関与した疑いが持たれています。

今回発覚したのは、アジア圏にある仮想通貨取引所へのサイバー侵入被害で、ロシアに本社を置く、コンピュータセキュリティ会社、カスペルスキー・ラボ(Kaspersky Lab）のレポートで明らかになりました。　

被害を受けた取引所名は明らかにされていませんが、カスペルスキー・ラボが、ITセキュリティメディアのBleeping Computerに伝えたところによると、当該取引所は侵入は受けたものの、財務上の損失は被っておらず、被害は最小限に食い止められた模様です。

しかし、懸念されるのは、今回用いられた”新たなサイバー攻撃”の巧妙な手法です。

カスペルスキー・ラボが「AppleJeus」のコードネームをつけ、分析した今回のハッキングでは、アップル社のMacOSをターゲットにした初のマルウェアが発見されていますが、そのマルウェアは、とある仮想通貨取引ソフト開発会社が提供するアプリのアップデート版の中に仕込まれており、同社のインターネットサイトよりダウンロードできるようになっています。

今回被害にあった取引所では、アプリを推奨するEメールを受け取った従業員の一人が、疑うことなくEメール上のリンクから、「トロイの木馬」である仮想通貨取引アプリをダウンロードしたことにより、侵入被害を受けたようです。

しかし、この従業員の行動を一概に責めることはできません。

ラザラスグループによる犯行とみられるこの事件は、大変巧妙に仕組まれており、取引アプリそのものではなく、アップデート版にマルウェアが仕込まれていただけでなく、アプリを提供している、仮想通貨取引ソフト開発会社そのものにも狡猾な仕掛けが施されていた模様です。

カスペルスキー・ラボによると、問題のソフト開発会社、Celas Limitedによる、「Celas Trade Pro」という仮想通貨取引アプリは、害を及ぼすような兆候は一切示さず、一見本物に見えたそうです。

しかし、そのアプリがセキュリティを回避するのに必要な「デジタル証明書」を付与した会社は、何もない野原に”架空の住所”が置かれていたり、同社のサーバーのドメイン登録に使われた住所を検索すると、米シカゴのラーメン屋と一致するといった具合で、大変存在が疑わしいと言わざるを得ないことが判明しました。

このような事実から総合して考えると、この犯罪グループは、一見正当に見えるビジネスそのものを創り出し、偽装したソフトウェアアップデートの中に悪質なマルウェアを忍び込ませるという、新たな手法を創り出したと、結論付けられるのです。

カスペルスキー・ラボのグローバルリサーチ/分析チーム主任のVitaly Kamluk氏は、次のように述べています。

カスペルスキー・ラボは、このレポートを次のような警告で結んでいます。