北朝鮮を後ろ盾とするハッカーがブロックチェーン企業など狙う–FBIらが注意喚起

今回は「北朝鮮を後ろ盾とするハッカーがブロックチェーン企業など狙う–FBIらが注意喚起」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　米国政府は米国時間4月18日、北朝鮮を後ろ盾とするハッカーグループが暗号資産（仮想通貨）関連企業を攻撃し、金銭を盗んだり、不正なブロックチェーン取引を引き起こす際に、どのようなフィッシングやマルウェア、エクスプロイトを用いているのかについて詳細を説明した。

　米連邦捜査局（FBI）、米サイバーセキュリティ・インフラセキュリティ庁（CISA）、米財務省が連名で発表した今回の共同サイバーセキュリティアドバイザリーは、暗号資産業界のすべての企業に対して、北朝鮮を後ろ盾とするハッカーグループによる攻撃に注意するよう警告している。

　米財務省は14日、暗号資産を稼げるNFTゲームの「Axie Infinity」を支えるサイドチェーン「Ronin Network」から6億ドル（約770億円）が窃盗された事件に、ハッカーグループLazarus Groupが関与していたと発表した。

　今回の共同アドバイザリーは主に、APT38として知られているLazarusによる攻撃に関する内容だ。2020年以来、このグループによる脅威が確認されているという。米政府はこれまでにも、北朝鮮の国家を後ろ盾とするサイバーアクターに関するアドバイザリーを公開している。

　FBIのインターネット犯罪苦情センター（IC3）が公開した今回のアドバイザリーでは、「2022年4月時点で、北朝鮮のLazarusのアクターらはスピアフィッシングキャンペーンやマルウェアを用いて、ブロックチェーンや暗号資産業界のさまざまな企業や組織、取引所を標的にし、暗号資産を盗んでいる」と説明されている。

　「これらのアクターは、北朝鮮の体制を支援するための資金の調達や、資金洗浄を目的として、暗号資産テクノロジー関連の企業やゲーム会社、取引所の脆弱性を悪用し続けるだろう」（IC3）

　アドバイザリーによると、Lazarusの攻撃の多くが暗号資産関連企業の従業員に対する、電子メールを用いたスピアフィッシング攻撃で開始される。システム管理者、ソフトウェア開発やIT運用すなわちDevOps担当の従業員が対象となる場合が多いようだ。

　「こうしたメッセージの多くは、求人活動を装って、高収入の仕事を提示することで、マルウェアを仕込んだ暗号資産アプリケーションを受信者にダウンロードさせようとする」と説明されている。FBIは、マルウェアが仕込まれたこれらの複数の暗号資産アプリケーションを「TraderTraitor」と呼んでいる。

　TraderTraitorは悪意あるアプリケーション群で、JavaScriptで記述され、「Node.js」のランタイム環境を使用している。「Windows」や「macOS」で動作するよう「Electron」を用いる。攻撃者は、オープンソース化されているさまざまなプロジェクトを利用し、暗号資産取引や価格予測のツールを装う。ソフトウェアの中核機能を提供するJavaScriptコードは「Webpack」でバンドルされる。そしてこのマルウェアは、悪意あるペイロードをダウンロードし、実行する偽の「アップデート」プロセスを実行する。

　アドバイザリーでは、「確認されているペイロードには、カスタム版のリモートアクセス型トロイの木馬（RAT）『Manuscrypt』のmacOSとWindows向け亜種も含まれている。システム情報を収集するほか、任意のコマンドを実行したり、さらなるペイロードをダウンロードしたりする機能を持つ」と説明されている。「侵入後のアクティビティは、特別に被害者の環境に合わせられ、最初の侵入から1週間以内に完了する場合がある」

　IC3のアドバイザリーは、暗号資産関連だとする複数のElectronアプリケーションを挙げている。Apple Developer Team用のAppleのデジタル署名を含むバイナリーがパッケージされているものもある。ブロックチェーン分析のCainalysisによると、北朝鮮のサイバー犯罪者は2021年、暗号資産プラットフォームに少なくとも7件の攻撃を仕掛け、およそ4億ドル相当のデジタル資産を引き出している。