北朝鮮ハッカーが300ETHと1,000以上のNFTを盗む
ブロックチェーンセキュリティ企業のSlowMistは、北朝鮮のAPT(北朝鮮の持続的標的型攻撃)ハッカーグループが大規模な仮想通貨およびNFTフィッシング攻撃に関与しており、300ETHと1,000以上のNFTを盗んだと述べている事が分かった。
🚨 North Korean APT group responsible for crypto and NFT phishing campaign spanning over 190 domains
Targeting dozens of $ETH and $SOL projects.
Uses collections on NFT marketplaces to lure victims to malicious minting sites.
🧵1/#Phishing #NFT #NorthKorea #cybercrime
— Phantom X (@PhantomXSec) September 4, 2022
190以上のドメインにまたがる仮想通貨およびNFTフィッシングキャンペーンを担当する北朝鮮のAPTグループ。
数十のETHおよびSOLプロジェクトを対象としています。
NFT マーケットプレイスのコレクションを使用して、被害者を悪意のあるマイニング サイトにおびき寄せます。
報告によるとSlowMistは、2022年9月に北朝鮮ハッカーグループの調査を開始。Twitter ユーザーの@PhantomXSecが複数のイーサリアム(Ethereum)およびソラナ(Solana)プロジェクトに対するフィッシング攻撃の背後に同グループがいると述べた後に同調査が開始されている。また、同グループに関連する複数のフィッシングサイトを分析した結果、SlowMist の主要戦術の1つは、悪意あるミントを使用し、偽NFT関連のおとりサイトを作成することもわかっている。このグループは、フィッシングキャンペーンに使用する約500のドメイン名を持っており、そのうちの複数については7カ月以上前に登録されたものであったとのこと。
ハッカーによって1055NFTと300ETHが盗まれる
SlowMist は、ハッカーグループによるフィッシングサイトの1つにリンクされたウォレットが計1,055NFTを受け取っており、約300ETHの利益を上げたことを明らかにしている。
報告によると、ウォレットは当初、Binance を通じて資金提供された後、ウォレットがいくつかの危険なアドレスとやり取りしていたことを突き止めたという。さらに、いくつかのNFTフィッシングサイトは同じホストIPを共有。1つのIPの下に372のNFTサイトがあり、別のIPの下、別の320件に上るフィッシングサイトが存在していたとのこと。
フィッシングサイトのコアコードを調べることでSlowMistは、ハッカーが攻撃にラップドイーサリアム(Wrapped ETH/WETH)、USDコイン(USD Coin /USDC)、ダイ(Dai/DAI)、ユニスワップ(Uniswap /UNI)など、複数のトークンを使用していることを発見。ハッカーは通常、「承認」操作を実行するようにユーザーを誘導することに重点を置いているとのこと。しかし、時にはさらに一歩進んで、被害者に許可証の署名、およびその他の承認活動を実行するように仕向けることもあることからユーザーは要注意だ。また、SlowMistは、北朝鮮のハッカーが運営するDeFiプラットフォームもすでに発見しているとのこと。
北朝鮮と仮想通貨ハッキング
一方でSlowMistは、北朝鮮と東ヨーロッパのハッカー間で何らかの形の協力も確認している。
韓国のスパイ機関である国家諜報院によると、北朝鮮が支援するハッカーは、2017年以降、10億ドル相当の仮想通貨を盗んだと報告されており、報告によると、国が支援する悪意あるプレーヤーは、2022年だけでその金額の半分を盗み盗っている。韓国の機関は、北朝鮮は核計画に資金を提供し、脆弱な経済を支えるために仮想通貨ハッキング活動に依存していると述べている。Lazarus(ラザルス)のような北朝鮮サイバー軍によるハッカー集団が、2022年に業界で記録された主要ハッキングに関連付けられており、同サイバー軍は、1億ドル(約132.7億円)のHarmony ブリッジのエクスプロイトと、Axie InfinitieのRoninブリッジの6億ドル(約796.6億円)以上のエクスプロイトに関与していると報告されている。
