北朝鮮Lazarus:トロイの木馬化されたDeFiアプリからマルウェアを配信

Lazarusが新スピアフィッシングキャンペーンを展開

北朝鮮のハッキンググループLazarusは、仮想通貨ウォレットを保存や管理するだけでなく、実行時に悪意のあるファイルを埋め込むDeFiWalletと呼ばれる正当なプログラムを含むトロイの木馬化されたDeFiアプリケーションを使用する新スピアフィッシングキャンペーンを使用している事が新たに分かった。

サイバーセキュリティを手掛けるKaspersky(カスペルスキー)の最新報告によると、Lazarusがこの攻撃のために韓国のサーバーを攻撃したと述べている。2016年、Lazarusはバングラデシュ銀行への攻撃を実行し、8,100万ドル(約99億3,000万円)を窃取。同グループはバングラデシュ銀行のシステムにマルウェアを仕掛け、SWIFT(Society for Worldwide Interbank Financial Telecommunication=国際銀行間通信協会)を介して銀行からニューヨーク連邦準備銀行(Federal Reserve Bank of New York)に送信した不正送金メッセージを隠蔽しており、Kasperskyは最新報告書の中で次のように述べている。

Lazarusにとって、金銭的利益は、仮想通貨ビジネスに特に重点を置いた主動機の1つです。仮想通貨の価格が急騰し、NFT(非代替トークン)およびDeFi(分散型金融)ビジネスの人気が高まるにつれて拡大を続けており、Lazarusグループの金融業界のターゲットは進化し続けています。


トロイの木馬化されたアプリケーション

研究者たちは、発見したトロイの木馬化されたDeFiアプリケーションが2021年11月にコンパイルされたと述べている。

疑わしいファイルが実行されると、悪意のあるファイルと正規アプリケーションのインストーラーがドロップされ、トロイの木馬化されたインストーラーパスを使用してマルウェアが起動される。生成されたマルウェアは、正規のアプリケーションをトロイの木馬化されたアプリケーションで上書きされていると研究者らの調査によって判明している。このプロセス中に、研究者たちは、トロイの木馬化されたアプリケーションがディスクから削除され、それによってその存在の痕跡がすべて削除される事を突き止めており、Kasperskyの研究者は次のように述べている。

このマルウェアは、侵害された被害者を制御するのに十分な機能を備えたフル機能のバックドアです。このバックドアの機能を調べたところ、Lazarusグループが使用する他のツールとの重複が多数見つかりました。

なお、研究者は、攻撃者が被害者をだましてスピアフィッシングメールを介し、トロイの木馬化されたアプリケーションを実行させるか、ソーシャルメディアを介して被害者に連絡したのではないかとみているとのこと。

仮想通貨スタートアップ企業などをターゲットか

1月、Kasperskyは、「SnatchCrypto」と呼ばれるキャンペーンで中小規模の仮想通貨スタートアップをたーげとにした北朝鮮国家支援のハッキンググループBlueNoroffに関する新たな調査を発表した。

研究者は、攻撃者が利用する戦術は広範かつ危険であり、最新のSnatchCryptoキャンペーンは、偽の仮想通貨関連企業や大手ベンチャーキャピタル企業になりすますなどのソーシャルエンジニアリング戦術を通じて機能すると述べている。次に、攻撃者はTwitterやLinkedInなどのソーシャルメディアを介して個人に連絡し、スピアフィッシングを介してユーザーのデバイスに感染させ、最終的に組織のネットワークを侵害する手段を提供。スタートアップ企業がサイバー犯罪者によって選ばれる理由として、よく知らないソースから手紙やファイルを受け取ることが多いとKasperskyの研究者は指摘しており、これによって攻撃者は感染したファイルをより簡単に転送できるようになるとのことだ。