北朝鮮のハッカーが偽のNFTゲームを使用してウォレットの認証情報を盗んだ:レポート

by

20年以上の経験を持つベテランのサイバーセキュリティアナリストとして、私は高度な攻撃をそれなりに見てきましたが、北朝鮮のLazarusグループに関連した攻撃は異常というほかありません。この最新の攻撃で示されたソーシャル エンジニアリングのレベルと技術力の高さは、これらの攻撃者の絶え間ない革新性と適応力の証拠です。

北朝鮮のラザロ・グループと関係がある可能性のある容疑者らが高度なサイバー攻撃を実行したと報じられている。この攻撃は、ゼロデイ脆弱性として知られる、Google Chrome のパッチが適用されていない弱点を悪用する隠れ蓑として、架空の Non-Fungible Token (NFT) ゲームを利用しました。

レポートの調査結果に基づくと、最終的にハッカーが個人の暗号通貨ウォレットに侵入できるようになったのはこの脆弱性でした。

Chrome のゼロデイ欠陥を悪用する

Kaspersky Labs のセキュリティ専門家 Boris Larin 氏と Vasily Berdnikov 氏の報告によると、犯人は DeTankZone という名前のブロックチェーン ゲームを複製し、Play-to-Earn (P2E) 機能を備えたマルチプレイヤー オンライン バトル アリーナ (MOBA) として偽装していました。

専門家によると、彼らはその後、ゲームのサイト「detankzone.[.]com」に有害なソフトウェアを挿入し、ダウンロードが必要かどうかに関係なく、操作するだけでデバイスに感染したという。

このスクリプトは Chrome の V8 JavaScript エンジンの重大なバグを悪用し、サンドボックス保護をバイパスしてリモートでコードを実行できるようにしました。この脆弱性により、北朝鮮の攻撃者と思われる者が Manuscrypt と呼ばれる高度なマルウェアをインストールし、被害者のシステムを制御できるようになりました。

この欠陥を発見したカスペルスキーは、そのことを Google に通知しました。その直後、Google はセキュリティ アップデートを実装することで問題を解決しました。残念なことに、ハッカーは事前にこの脆弱性を悪用しており、世界中のユーザーやさまざまな企業に広範囲にわたる影響を与える可能性があることを示しています。

仮想通貨投資家として、私はこれらの攻撃者が戦略に複雑なソーシャル エンジニアリング技術をどのように活用しているかに興味を惹かれました。彼らは、AI が生成したゲームのプロモーション コンテンツを共有するために仮想通貨界の影響力のある人物を利用して、X や LinkedIn などのプラットフォームでこの問題のあるゲームを宣伝しました。

複雑な構造に加えて、彼らは洗練された Web サイトとハイエンドの LinkedIn プロフィールをデザインし、気取らない参加者をゲームに引き込む本物の雰囲気を放っていました。

Lazarus Group の暗号通貨の追求

驚いたことに、NFT ゲームは単なる空虚な外観ではないことがわかりました。その代わりに、機能が満載でした。魅力的なロゴ、インタラクティブなヘッドアップ ディスプレイ、没入型 3D モデルなど、さまざまなゲームプレイの側面を備え、魅力的なユーザー エクスペリエンスを実現しました。

しかし、Play-to-Earn (P2E) タイトルの Web サイトにアクセスしたユーザーは、サイト上に存在するマルウェアによってウォレットの詳細などの機密データが盗まれました。これにより、Lazarus グループは大規模な暗号通貨強盗を実行できるようになりました。

時間が経つにつれて、この集団は暗号通貨などのデジタル通貨に対して一貫して強い好奇心を示してきました。 4月、オンチェーン探偵ZachXBTは、2020年から2023年の間に発生した25件以上の仮想通貨強盗に彼らを関連づけ、その結果、推定2億ドル以上の被害額がもたらされたと指摘した。

さらに、ラザロは、約6億ドル相当のイーサ(ETH)とUSDコイン(USDC)が盗まれたとされる、2022年のローニンブリッジでの注目を集める強盗に関連しているとされている。

21Shares の親会社である 21.co は、2023 年 9 月に、犯罪組織がビットコイン (BTC)、バイナンス コイン (BNB)、アバランチ (AVAX)、ポリゴン (MATIC) などのさまざまな暗号通貨を 4,700 万ドル以上保有していることを発見しました。

2017 年から 2023 年までの数年間で、彼らのデジタル資産の総額は 30 億ドルを超えると言われています。

2024-10-26 21:49