ラザルスが業界を危険にさらす最新マルウェアで業界を脅威にさらす
北朝鮮サイバー軍のラザルス(Lazarus)グループは、新しい形式のマルウェアを使用し、無防備な組織に侵入していることから、仮想通貨業界は厳戒態勢に陥っている事が分かった。
仮想通貨業界は長年、北朝鮮政府の支援を受けたハッカー集団ラザルスグループの恐るべき脅威と闘ってきた。仮想通貨業界に注目して以降、同グループはさまざまな戦術を通じて無数のサイバー攻撃を仕掛け、数十億ドルの資金と資産を盗んだことで悪名高い評判を得てきた。度重なる攻撃に対応してセキュリティ専門家は、同グループの戦術に関する調査を開始し、業界をさらに危険にさらす恐れのある最新のマルウェアを明らかにた。
最新ハッキング戦術を暴く
2023年9月30日、サイバーセキュリティ企業ESETは、ラザルスグループツールセットに新たに追加された、LightlessCanという検出不可能なマルウェアを突き止めている。
#ESET researchers unveiled their findings about an attack by the North Korea-linked #APT group #Lazarus that took aim at an aerospace company in Spain.
▶️ Find out more in a #WeekinSecurity video with @TonyAtESET. pic.twitter.com/M94J200VQx
— ESET (@ESET) September 29, 2023
ESETの研究者らは、スペインの航空宇宙会社を狙った北朝鮮関連のAPTグループLazarusによる攻撃に関する調査結果を発表した。
チーフセキュリティエバンジェリストのトニー・アンスコム(Tony Anscombe)氏は、LightlessCanはシステムにシームレスに侵入し、機密情報への不正アクセスを許可するように設計されたマルウェアであると説明。このマルウェアは、ラザルスが仕掛けるBlindingCanの後継で、ipconfig、ping、netstant、systeminfo などのネイティブWindowsコマンドを模倣できる15ステップのコマンド構造が含まれている。
ESETが最初にLightlessCanを発見したのは、スペインの航空宇宙会社の従業員を標的としたフィッシング詐欺の調査中で、同グループは、ネットワーキングプラットフォームLinkedInを介して提示された「Operation DreamJob」と呼ばれる偽求人キャンペーンを首謀していた。このキャンペーンにより、ハッカーは企業ネットワークへのアクセスを許可する悪意のあるペイロードをターゲットにダウンロードさせるステップを含む、通常の採用プロセスを通じて、疑いを持たない被害者を誘惑できたとのことだ。LightlessCanの主な機能は「execution guardrails(日本語訳:実行ガードレール)」と呼ばれている。このセキュリティ概念により、マルウェアの意図した受信者のみがペイロードを復号化できることが保証され、セキュリティ研究者や専門家による再構築の試みが阻止される。
最新の発見を受けて、同社は仮想通貨事業者に警告を発し、細心の注意を払い、厳格な保護措置を講じるよう勧告した。
ラザルスグループの容赦ない攻撃
ラザルスによる恐怖政治は数年にわたり仮想通貨業界に影響を与え、攻撃や資産奪取の長いリストが記録されている。
2023年8月、オンチェーンの探偵らは同グループが大手仮想通貨企業に対する一連の攻撃に関与していると指摘。これらのハッキングには、仮想通貨決済ゲートウェイ Coinspaid からの850万ドル(約12.7億円)、Atomic Walletからの3,500万ドル(約52.4億円)、Harmony Protocolからの1億ドル(約149.8億円)以上の盗難が含まれており、合計2億9,000万ドル(約434.5億円)以上の損失が発生している。また、同グループは、9月8日にオンラインカジノおよび賭博プラットフォームStake.comで起きた4,100万ドル(約61.4億円)強盗の犯人としても特定されている。この強盗には、イーサリアム、バイナンススマートチェーン、ポリゴンを含むエコシステム全体の複数のネットワークからの資産の盗難が含まれていた。
同グループの多くの違法行為に一貫して見られる要因は、盗まれた資金の移動と分配を隠すためにトルネードキャッシュ(Tornado Cash)などの仮想通貨ミキサーを使用していたことである。仮想通貨業界が ラザルスのような大規模攻撃者からの挑戦に直面する中、サイバー犯罪者を裁くことを目的とした堅牢な防御メカニズムの開発の必要性が高まっている。
