北朝鮮のハッカー集団が新たな「ドリアン」マルウェアで韓国の仮想通貨企業を狙う

北朝鮮のハッカー集団が新マルウェアで韓国の仮想通貨企業を標的に

北朝鮮が支援するハッキング・グループKimsuky(キムスキー)は、新しいマルウェア「Durian(ドリアン)」の亜種を使用して、少なくとも2つの韓国の仮想通貨企業を標的にしたと報じられていることが明らかになった。

日本語訳:
2024年第1四半期の最新のAPTトレンドが公開され、Careto APTの再出現、ハクティビストの活動など、第1四半期に明らかになった興味深いAPT活動の一部が紹介されています。

サイバーセキュリティ企業Kaspersky(カスペルスキー)の2024年5月9日(木曜日)付けの脅威レポートによると、北朝鮮のハッキンググループKimsukyは、これまでに少なくとも2つの仮想通貨企業に対する一連の標的型攻撃でこの新しいマルウェアを使用。この攻撃は、韓国の仮想通貨企業が独占的に使用している正規のセキュリティソフトウェアを悪用した執拗な攻撃によって行われている。

これまで知られていなかったDurianマルウェアは、「AppleSeed」として知られるバックドアや、LazyLoadとして知られるカスタムプロキシツール、Chromeリモートデスクトップなどの正規ツールなど、マルウェアの継続的な流れを展開するインストーラとして機能するとのことで同社は次のように述べている。

Durianは包括的なバックドア機能を誇り、配信されたコマンドの実行、ファイルの追加ダウンロード、ファイルの流出を可能にする新しいマルウェアです。


LazyLoadはLazarusでも使用されていた

さらにKasperskyは、LazyLoadは北朝鮮のハッキング・コンソーシアムであるLazarus(ラザルス)Group内のサブグループAndarielでも使用されており、Kimsukyとより悪名高いハッキング・グループとの間に微妙なつながりがあることを示唆していると指摘している。

2009年に登場したLazarusは、仮想通貨ハッカー集団の中で最も悪名高いグループの1つとしての地位を確立。4月29日、独立系ブロックチェーンスルースZachXBTは、Lazarusグループが2020年から2023年の間に2億ドル(約313億円)以上の不正な仮想通貨の洗浄に成功したことを明らかにした。同グループは、2023年までの6年間に30億ドル(約4,695億円)以上の仮想通貨を盗んだとして告発されており、2023年に盗まれた総資金の17%以上、3億900万ドル(約483.6億円)強を盗んだとされている。

また、Immunefiの12月28日のレポートによると、2023年を通して18億ドル(約2,817億円)以上の仮想通貨がハッキングやエクスプロイトによって失われているとのことだ。