北朝鮮関連のハッカーがソーシャルエンジニアリングで5,000万ドル相当のRadiant Capitalを悪用：報告書

長年の経験を持つベテラン研究者として、北朝鮮の国家支援ハッカーがこれほど巧妙かつ何の処罰も受けずに暗号通貨セクターを標的にし続けていることは驚くべきことではあるが、驚くべきことではない、と私は考えている。 Radiant Capitalへの最新の攻撃は、これらのグループがシステムに侵入し、数十億ドルの暗号通貨を盗むために採用し続ける進化する戦術をはっきりと思い出させます。

Radiant Capitalが発行した新たな解剖報告書は、北朝鮮政府の支援を受けていると考えられる正体不明のハッカーが議定書からの5,000万ドルの窃盗を画策したことを示唆している。

最近のサイバーインシデントを調査している研究者として、私は攻撃者が Radiant Capital の「信頼できる元請負業者」を装い、メッセージングプラットフォーム Telegram 上で流通する ZIP PDF ファイルを通じてマルウェアを広めていたことを発見しました。これらの調査結果は、レポートで詳述されているように、サイバーセキュリティ企業 Mandiant によって実施された調査に基づいています。

Radiant Capital からの情報に基づくと、このファイルは北朝鮮に関連するサイバー脅威グループ、より具体的には UNC4736 または Citrine Sleet として知られるグループによって開始されたようだと言われています。このグループは、AppleJeus マルウェアの作成と管理でも知られています。

ハッカーは、請負業者と Radiant のチームとの以前のつながりを利用して、請負業者の本物の電子メールアドレスを模倣し、スマートコントラクトの評価に関する疑いのある新しいプロジェクトについての意見を求めるふりをして Telegram メッセージを送信するという、もっともらしい詐欺を考案しました。

一般的なビジネス環境では、弁護士、スマートコントラクト監査人、パートナーなどの専門家の間でレビューのために PDF を交換するのが一般的です。この実践では、ドキュメントを PDF 形式で定期的に送信します。問題のメッセージは珍しいものではないようだったので、他のチームメンバーに伝えて意見を求めました。

一見無害に見える zip ファイルは、INLETDRIFT マルウェアを偽装していることが判明しました。この陰湿なソフトウェアは、侵入すると、サイバー犯罪者が影響を受ける Mac システムへのゲートウェイを開いて、Penpie エクスプロイトの余波報告を装って、少なくとも 3 つの Radiant 開発者のハードウェアウォレットに侵入できるようにしました。

10 月 16 日のサイバー攻撃により、マルウェアは Safe{Wallet} のユーザーインターフェースを微妙に変更し、開発者には本物の取引詳細のみが表示されているかのように見せかけましたが、裏では違法な取引が密かに実行されていました。

Tenderly シミュレーション、ペイロードのチェック、業界の標準操作手順などの厳格な基準に従っていたにもかかわらず、攻撃者が複数の開発者のデバイスへの侵入に成功したことが判明しました。

マンディアントの評価によれば、この報告書は非常に確実に、このサイバー攻撃は北朝鮮に関係するグループに遡ることができると述べている。

北朝鮮のハッカーが数十億ドルの仮想通貨を盗んだ

UNC4736は北朝鮮の民主人民共和国情報局との関連が疑われており、仮想通貨に関わる企業を集中的に攻撃していることで知られている。

crypto.news が以前に言及したように、今年の初めに遡ると、ハッキンググループは、Chromium Web ブラウザーのパッチが適用されていない欠陥 (ゼロデイ脆弱性) を利用して、仮想通貨金融機関に侵入しました。ブラウザのセキュリティ対策をこっそり回避することで、彼らはブラウザの安全な環境内で有害なコードを実行することに成功しました。

FBIは9月、北朝鮮のハッカー集団によるサイバー攻撃が巧妙化していると警告を発した。これらの攻撃は現在、仮想通貨上場投資信託に関係する人々に焦点を当てています。

サイバーセキュリティの集会「サイバーウォーコン」で発表された最新の研究では、北朝鮮のハッカーが著名な組織のITスタッフや正社員を装い、システムに侵入することで、6か月以内に約1,000万ドルを盗むことに成功したことが明らかになった。

特定国家の支援を受けたハッカー集団が仮想通貨業界から搾取したとみられる約30億ドルが、2017年から2023年までの北朝鮮の核兵器開発計画に資金提供されていた疑いがある。

2024-12-09 11:51