北朝鮮ラザルス、仮想通貨関連のハッキング攻撃で新手法

メッセージアプリ「テレグラム」がハッキングに利用される

北朝鮮政府の支援を受けているとされるハッカー集団「ラザルス (Lazarus)」が新たな手法で仮想通貨を盗もうとしていることがわかった。

仮想通貨業界で人気のメッセージアプリ「テレグラム」のダウンロードフォルダから実行される新たな手法を試みているという。ロシアの大手サイバーセキュリティ企業カスペルスキー社(Kaspersky)が公開したレポートで明らかにした。

ラザルス・グループは、北朝鮮の情報機関の支配下にあるとされ、昨年9月、米財務省より制裁対象に指定されている。 また国連安全保障理事会北朝鮮制裁委員会の専門家パネルは、北朝鮮が他国の金融機関に対するサイバー攻撃を通じ、推定20億ドル(約2190億円)を違法に取得しているが、銀行よりも「追跡が困難で、監視や規制が緩い」仮想通貨取引への攻撃が資金を稼ぐことを可能にしていると指摘している。

ラザルスの攻撃方法

ラザルスは、これまでアップル社のMacOS向けのマルウェアを、仮想通貨取引ソフト開発会社が提供するアプリのアップデート版の中に仕込むことで、ターゲットとなるコンピュータシステムに侵入する手口を使ってきた。 2018年8月にカスペルスキー社が発見した手法で、コードネーム「AppleJeus」と呼ばれている。

昨年10月には、架空の仮想通貨企業「JMT Trading」を語り、オープンソースの仮想通貨取引アプリにマルウェアを仕組むという類似の手口が使われていることも、セキュリティ専門家より指摘されていた。

しかし、カスペルスキー社の分析によると、今回発見されたマルウェアは、メッセージアプリ「テレグラム」のダウンロードフォルダから実行されるという。さらに、ラザラスの仮想通貨取引プラットフォームを装った偽サイトにテレグラムグループが設定されていたことからも、ハッカーグループがテレグラムを利用して、操作されたインストーラーを配信していたと研究者は結論づけている。

このマルウェアは、先月、ITセキュリティメディア「Bleeping Computer」が報道したMacOS向けの新たなマルウェア「UnionCryptoTrader」のWindows版で、遠隔でデータ本体であるペイロードを引き出し、ハードディスクではなく、メモリー内で実行するため、科学的分析も困難を極めるという。

ハッキングのための偽サイト

カスペルスキー社はラザルスに対する捜査段階で、いくつかの仮想通貨をテーマとした偽サイトを見つけたが、そのサイト作成には同一のWebテンプレートが使われていたようだ。なお、ほとんどのリンクが機能しない不完全なサイトだったと言う。

カスペルスキー社が「AppleJeusの続編」と呼ぶ新たなハッキングの手口による被害者は、イギリス、ポーランド、ロシアおよび中国で確認されているが、被害者のいくつかは仮想通貨関連企業だったという。 同社はラザルスによる仮想通貨企業を狙ったハッキングは今後も止むことはなく、ますます巧妙さを増していくだろうと警告している。

参考:報告書

CoinPostの注目記事

北朝鮮のハッカー集団、仮想通貨を狙ったmacOSのマルウェアを作成か=Bleeping Computer
仮想通貨取引のプラットフォームを名乗るサイトに、米アップル社のmacOSを標的にした新たなマルウェアが仕掛けられていることが分かった。北朝鮮国家が後援するハッカー集団ラザルスのものだと見られている。
北朝鮮、仮想通貨専門のハッカーを幼少期より育成する方針か=国連レポート
国連が新たに提出したレポートによると、北朝鮮は人民の中からIT技術に特化した人材を選抜し、仮想通貨専門のハッカーを育成しているという。韓国系メディアなどが報じた。


画像はShutterstockのライセンス許諾により使用

▶️本日の速報をチェック
お問い合わせ 広告掲載はこちら