北朝鮮ハッカーがmacOSマルウェアでブロックチェーンエンジニアを標的に
北朝鮮のハッキンググループ であるラザルス(Lazarus Group)が、Discordサーバー上のダイレクトメッセージを介して、仮想通貨アービトラージボットを装ったPythonアプリを配布し、macOSブロックチェーンエンジニアを新たなマルウェアで標的にしていることが分かった。
サイバーセキュリティ企業エラスティックセキュリティラボ(Elastic Security Labs、※以下、エラスティックと表記)の最新レポートによると、ハッカーらはDiscordサーバー上のダイレクトメッセージを介して、仮想通貨アービトラージボットを装ったPythonベースのアプリケーションの配布を開始。
アナリストらは、キャンディコーン(Kandykorn)マルウェアは「技術、ネットワークインフラ、コード署名証明書、Lazarus Group のカスタム検出ルール」を考慮して北朝鮮によって配布されていると述べたうえで次のように語っている。
北朝鮮は、LAZARUS GROUPのような組織を通じて、経済と野心の成長を妨げる国際制裁を回避するために仮想通貨を盗むことを目的として、仮想通貨産業企業を標的にし続けている。
攻撃者による手口
攻撃者は、アービトラージ ボットの形式でマルウェアを含む ZIP アーカイブをダウンロードして解凍するよう被害者を説得しようとしているとのこと。
エラスティックによると、マルウェアは被害者のデバイスにインストールされると、被害者のコンピューターにアクセスしてデータを抜き出すためのフル装備の機能セットを備えるようになるという。同社は、ハッカーらは少なくとも2023年4月からこの手口を利用していたと主張し、脅威は今も活動しており、ツールや技術は“継続的に開発されている”と付け加えた。
ラザルスは、詐欺行為を実行するための新たな手口を開発したり止めたりする気配は今のところ見られない。9月初旬にhacker攻撃を受けており、FBI(連邦捜査局)は、仮想通貨カジノStakeへの攻撃の背後には北朝鮮の支援を受けたハッカー集団がいると発表。その結果、仮想通貨で4,000万ドル(約60兆円)以上の損失が発生している。
