北朝鮮が元契約業者を装って5,000万ドルのハッキングを実行
Radiant Capital(レイディアント・キャピタル)の最新調査レポートによると、北朝鮮の国家支援を受けたハッカーが 5,000 万ドル相当のエクスプロイトの背後にいた事が発覚した。
🚨 Radiant Capital Incident Update 🚨
A detailed update on the October 16 incident is now available, with Mandiant’s ongoing investigation attributing the attack with high confidence to a Democratic People’s Republic of Korea (DPRK)-linked threat actor.
The report sheds light…
— Radiant Capital (@RDNTCapital) December 7, 2024
ラディアントキャピタル事件の最新情報🚨
10月16日の事件に関する詳細な最新情報が公開されました。Mandiantの継続中の調査では、この攻撃は北朝鮮に関連する脅威アクターによるものであるという確度の高い結論が出ています。
この報告書は、攻撃者の高度な戦術を明らかにし、業界全体で取引検証の実践を強化する緊急の必要性を強調しています。
2024年10月にRadiant Capitalが5,000万ドルの攻撃を受けた際、北朝鮮の脅威アクターが元契約業者を装っていたと発表。Radiant Capitalは、10月に同社のDeFi(分散型金融)プラットフォームが5,000万ドルのハッキングを受けたのは、北朝鮮に所属するハッカーが元契約業者を装い、「信頼できる元請負業者」になりすまし、zipファイル付きのテレグラム(Telegram)で共有された「圧縮されたPDF」ファイルを介してマルウェアを展開。同レポートはサイバーセキュリティ会社Mandiantによる12月6日付最新情報の中で、次のように述べている。
この攻撃は朝鮮民主主義人民共和国と関係のある脅威アクターによるものと高い確信を持って判断した。このZIPファイルは、他の開発者にフィードバックを提供するために共有されたところ、最終的にマルウェアを配信し、その後の侵入を容易にしました。
なお、Radiant Capitalによると、このファイルはUNC4736(※別名:Citrine Sleet)とAppleJeusマルウェアの首謀者と思われる「北朝鮮と連携した脅威アクター」から発信されたもので、北朝鮮の主要諜報機関であるRGB(偵察総局)と連携。ハッカー集団ラザルス(Lazarus Group)のサブクラスターの可能性がある。
Radiantは、PDFのレビュー依頼は専門的な環境では日常的であり、開発者は「この形式で文書を頻繁に共有する」ため、このファイルは疑惑を呼ぶものではないと述べている。また、ZIPファイルに関連付けられたドメインも、請負業者の正当なウェブサイトを偽装。10月16日、ハッカーが複数の署名者の秘密鍵とスマートコントラクトを掌握したことを受け、DeFiプラットフォームは貸付市場の停止を余儀なくされた。
北朝鮮のハッカーが数十億ドル相当の仮想通貨を盗む
UNC4736は北朝鮮の偵察総局と関係があると考えられており、仮想通貨に重点を置く企業を標的にしていることが知られている。
このグループはChromiumブラウザーのゼロデイ脆弱性を悪用してブラウザーのセキュリティを回避し、ブラウザのサンドボックス内で悪意のあるコードを実行することで、仮想通貨金融機関を標的にしていた。
サイバーウォーコン・サイバーセキュリティ会議の研究者による最近の報告によると、北朝鮮のハッカーはIT労働者やその他の従業員として有名企業に侵入し、わずか6カ月で1,000万ドル(約15億円)以上を横領したことが判明。さらに、当NEXTMONEYの2024年2月9日付特集記事「国連は北朝鮮を30億ドルの仮想通貨窃盗で非難」でも報じているように、2017年から2023年の間に北朝鮮の国家支援ハッカー集団が仮想通貨セクターから盗んだおよそ30億ドル(約4,536億円)は、北朝鮮の核兵器資金として使われているとされている。
