北朝鮮ラザルス、仮想通貨関連のハッキング攻撃で新手法

メッセージアプリ「テレグラム」がハッキングに利用される

北朝鮮政府の支援を受けているとされるハッカー集団「ラザルス （Lazarus）」が新たな手法で仮想通貨を盗もうとしていることがわかった。

仮想通貨業界で人気のメッセージアプリ「テレグラム」のダウンロードフォルダから実行される新たな手法を試みているという。ロシアの大手サイバーセキュリティ企業カスペルスキー社（Kaspersky）が公開したレポートで明らかにした。

ラザルス・グループは、北朝鮮の情報機関の支配下にあるとされ、昨年9月、米財務省より制裁対象に指定されている。 また国連安全保障理事会北朝鮮制裁委員会の専門家パネルは、北朝鮮が他国の金融機関に対するサイバー攻撃を通じ、推定20億ドル（約2190億円）を違法に取得しているが、銀行よりも「追跡が困難で、監視や規制が緩い」仮想通貨取引への攻撃が資金を稼ぐことを可能にしていると指摘している。

ラザルスの攻撃方法

ラザルスは、これまでアップル社のMacOS向けのマルウェアを、仮想通貨取引ソフト開発会社が提供するアプリのアップデート版の中に仕込むことで、ターゲットとなるコンピュータシステムに侵入する手口を使ってきた。　2018年8月にカスペルスキー社が発見した手法で、コードネーム「AppleJeus」と呼ばれている。

昨年10月には、架空の仮想通貨企業「JMT Trading」を語り、オープンソースの仮想通貨取引アプリにマルウェアを仕組むという類似の手口が使われていることも、セキュリティ専門家より指摘されていた。

しかし、カスペルスキー社の分析によると、今回発見されたマルウェアは、メッセージアプリ「テレグラム」のダウンロードフォルダから実行されるという。さらに、ラザラスの仮想通貨取引プラットフォームを装った偽サイトにテレグラムグループが設定されていたことからも、ハッカーグループがテレグラムを利用して、操作されたインストーラーを配信していたと研究者は結論づけている。

このマルウェアは、先月、ITセキュリティメディア「Bleeping Computer」が報道したMacOS向けの新たなマルウェア「UnionCryptoTrader」のWindows版で、遠隔でデータ本体であるペイロードを引き出し、ハードディスクではなく、メモリー内で実行するため、科学的分析も困難を極めるという。

ハッキングのための偽サイト

カスペルスキー社はラザルスに対する捜査段階で、いくつかの仮想通貨をテーマとした偽サイトを見つけたが、そのサイト作成には同一のWebテンプレートが使われていたようだ。なお、ほとんどのリンクが機能しない不完全なサイトだったと言う。

カスペルスキー社が「AppleJeusの続編」と呼ぶ新たなハッキングの手口による被害者は、イギリス、ポーランド、ロシアおよび中国で確認されているが、被害者のいくつかは仮想通貨関連企業だったという。　同社はラザルスによる仮想通貨企業を狙ったハッキングは今後も止むことはなく、ますます巧妙さを増していくだろうと警告している。

参考：報告書