btzgrp
  • トランプ大統領、中国との貿易協定は「完了」と発表、55%の関税を課す
Headlines

北朝鮮、ブロックチェーン・暗号通貨企業を標的に - TechRepublic

05 mins
北朝鮮、ブロックチェーン・暗号通貨企業を標的に - TechRepublic

北朝鮮の国家支援を受けた悪名高い脅威アクターが、ブロックチェーンおよび暗号通貨業界の複数の組織を攻撃しています。身を守る方法を学びましょう。

北朝鮮の暗号ハッキング
画像: mehaniq41/Adobe Stock

FBI、サイバーセキュリティ・インフラセキュリティ庁、そして財務省は、新たなサイバーセキュリティ勧告を発表しました。この勧告では、高度な持続的脅威(APT)を専門とし、ブロックチェーンおよび暗号通貨業界の組織を標的とするLazarus Groupの最近の活動について説明しています。

参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)

ラザルスグループとは何ですか?

Lazarus Group(別名APT38、BlueNoroff、Stardust Chollima)は、北朝鮮を拠点とする国家支援型の脅威アクターとして長年知られています。このグループは2009年から活動しています。当初は韓国を標的とし、様々な組織のコンピュータを妨害・破壊していましたが、その後、国際的な金融犯罪にも焦点を当てるようになりました。

仮想通貨取引所や金融サービス企業がLazarusの標的となっているという勧告が既に発表されています。FBIはまた、2022年3月に6億2000万ドル相当のイーサリアムを窃盗したのもLazarusであると発表しました(図A)。

図A

北朝鮮FBIの声明
画像: Twitter。ラザルス・グループによる6億2000万ドル相当のイーサリアム盗難に関するFBIの声明。

最初の妥協

攻撃は、グループが様々なコミュニケーションプラットフォーム上で送信するスピアフィッシングメッセージから始まります。これらのメッセージは、暗号通貨関連企業の複数の従業員、多くの場合システム管理者、ソフトウェア開発者、ITスタッフに送信されます。

メッセージには、標的の従業員に高収入の仕事の機会を約束し、米国政府が「TraderTraitor」と呼ぶマルウェアを仕込んだ暗号通貨アプリケーションをダウンロードさせるように仕向けることがよくあります。ダウンロードされ実行されると、悪意のあるコードが追加のペイロードをインストールします。

「このキャンペーンは、複数の人気トレンドを巧みに組み合わせた攻撃です」と、Tripwireの戦略担当バイスプレジデント、ティム・アーリン氏は述べています。「仮想通貨を狙った攻撃はこれまでにも見られ、悪意のあるソフトウェア自体も新しいものではありません。読者の皆様には、このアラートは新しい技術に関するものではなく、攻撃活動の増加に関するものであることをご理解いただきたいと思います。フィッシングメールに騙されることはないだろうと考えるのは簡単ですが、データを見ると、悪意のあるメールは攻撃者にとって依然として有効な手段であることが分かります。感染するよりも、用心深くなる方が賢明です。」

ペイロード

TraderTraitorソフトウェアは、Electronフレームワークを用いたNode.jsランタイム環境でJavaScriptコードを使用して記述されています。これらの悪意のあるアプリケーションは、様々なオープンソースプロジェクトから派生しており、仮想通貨取引ツールや価格予測ツールを装っています。このグループは、詐欺アプリケーションを宣伝するために、プロフェッショナルな外観のウェブサイトを構築することがよくあります(図B)。

図B

北朝鮮の偽ウェブサイト
画像: CISA.gov。攻撃者が構築した偽のウェブサイト。

同機関はまた、「観測されたペイロードには、システム情報を収集し、任意のコマンドを実行して追加のペイロードをダウンロードする機能を備えたカスタムリモートアクセストロイの木馬であるManuscryptのmacOSおよびWindows向けの更新された亜種が含まれている」と報告している。

ペイロードが実行されると、攻撃者は被害者の環境に合わせてカスタマイズされた侵害後の活動を完了するのに 1 週​​間もかかりません。

推奨事項

政府機関は、この脅威を軽減するためにいくつかの対策を推奨しています。

  • ネットワーク セグメンテーションを使用して、役割と要件に基づいてネットワークをゾーンに分割します。
  • 一般的な脆弱性による侵害を回避するために、効率的なパッチ管理を実施してください。インターネットに接続されたデバイスへのパッチ適用を優先してください。
  • 多要素認証を要求し、ユーザーが定期的にパスワードを変更するようにします。
  • 脅威アクターが頻繁に利用する新規登録ドメインを検出するため、メールとドメインの緩和策を実施してください。メール内のHTMLプロトコルを無効にし、メールの添付ファイルをマルウェアスキャンする必要があります。
  • アプリケーションの許可リストを適用して、許可されていないソフトウェアが実行されないようにします。
  • サイバーセキュリティの脅威に対応するためのインシデント対応計画を立てます。

ユーザーは、復元フレーズを求められた場合も注意が必要です。復元フレーズは仮想通貨ウォレットへのフルアクセスを提供するため、企業が復元フレーズを要求することは決してありません。それでも疑問が残る場合は、IT部門またはサイバーセキュリティ部門に連絡して確認を受ける必要があります。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

記事をシェア

こちらもご覧ください

  • サイバーセキュリティのプロになる方法:チートシート
  • ビジネスで検討すべき10の最高のウイルス対策製品
  • EDRソフトウェア: ビジネスに最適なEDRツールの選択
  • モバイルデバイスのセキュリティポリシー
セドリック・ペルネの画像

セドリック・ペルネ

セドリック・ペルネ氏は、サイバー犯罪とサイバースパイ活動に重点を置いた上級脅威専門家です。現在はトレンドマイクロに勤務しています。それ以前は、複数のコンピュータ緊急対応チーム(CERT)に所属し、脅威インテリジェンス調査、インシデント対応、コンピュータフォレンジックに携わっていました。また、フランスでサイバー犯罪対策に携わる法執行官でもありました。サイバースパイ活動に関するフランス語の論文を執筆しており、サイバーセキュリティコミュニティにおける影響力のある人物です。

Tagged:

Related News