仮想通貨詐欺師は業界の内部構造に精通している
米国の世界最大手のコンピューターソフトウエア会社Microsoftは、悪意のあるエンティティが日ごとに巧妙になっていることを明らかにしたうえで警告している事が分かった。
Microsoftによる最新レポートによると、仮想通貨投資会社を標的にするためにTelegramが使用されているとのこと。テクノロジー大手の同社は、仮想通貨プラットフォームの代表者を装ったTelegramグループに侵入した脅威アクター(DEV-0139)を特定したとのこと。
仮想通貨企業に対する標的型攻撃
Microsoftの調査チーム(Security Threat Intelligence:セキュリティ脅威インテリジェンス)が公開した投稿によると、攻撃者は仮想通貨投資業界についてかなりの知識を持っているという。
Microsoftより画像引用
調査の結果、少なくとも 1 人の標的となる人物に対し、他の仮想通貨資産管理会社の代表者を装い、別のTelegramグループに招待。その主な目的は、ターゲットの信頼を得るために、関連するトピックに関与して議論することだという。攻撃者は、正当に見えるように巧妙に細工された情報を含む、マルウェアが混入したExcelスプレッドシートを送信し、兵器化されたExcelファイルを開くと、マクロが有効になり、ファイルに埋め込まれた2番目のワークシートがPNGファイルをダウンロード。これを解析し、悪意のある DLL、XORエンコードされたバックドア、後にDLLをサイドロードするために使用される正規のWindows実行可能ファイルを抽。これによって基本的に攻撃者は、標的の侵害されたシステムへのリモートアクセスが可能になるとのこと。
Microsoftは攻撃の別亜種も検出
Microsoftは最終的なペイロードを取得できなかったものの、この攻撃の別亜種を検出し、ペイロードを取得している。
同社の調査結果は、同じ手法を利用して仮想通貨企業を標的とする他のキャンペーンの存在を浮き彫りにしており、報告書の中で同社は次のように指摘している。
仮想通貨市場は依然として攻撃者にとって関心のある分野です。ターゲットユーザーは、成功の可能性を高めるため、信頼できるチャネルを通じて識別されます。大企業が標的にされる可能性がある一方で、小規模企業も関心の対象になる可能性があります。
世界的にも悪名高いことで知られている北朝鮮のサイバー軍Lazarus(ラザルス)は、ランサムウェア攻撃を有利に利用する主要攻撃団体およびグループの1つである。全体として、仮想通貨の台頭と一時金の流入を考えると、企業や個人はこのようなリスクに最大限の注意を払う必要がある。
