エラスティック・セキュリティ・ラボは独自の侵入マルウェアを特定 暗号通貨交換プラットフォームのブロックチェーンエンジニアを特にターゲットにしている。
この攻撃は、コンピュータ・システムに不正にアクセスし、機密データを抜き取るために、欺瞞的な戦術と従来のツールの融合を用いる。
このサイバー侵入ツールの使用が最初に検出されたのは、マッキントッシュ・コンピュータのバックグラウンド・アクティビティの調査中であった。
この攻撃は、Discord上のダイレクトメッセージを通じて配布された、暗号通貨による利益を生み出すツールを装った偽造プログラムによって開始された。
朝鮮民主主義人民共和国(DPRK)、すなわち北朝鮮で活動していると思われるグループによるもので、ラザロ・グループと類似点が多い。
これは、ラザロ・グループに関連する方法論、ネットワーク構造、デジタル証明書、独自の検知手段の分析に基づいている。
エラスティック社はこの特定の侵入形態を「REF7001」と命名した;
ラザロ・グループはどうやって取引所をハッキングしたのか?
すべては単純に始まった。
悪意ある行為者は、暗号通貨関連ソフトウェアに関する議論専用のDiscordグループ内で偽のIDを使用した。
ほとんどのマルウェアがそうであるように、彼らは無防備な個人を操って一見無害なファイルをダウンロードさせたが、実際には悪質なコードが隠されていた。
被害者は、取引所間のレート差を検出し、その差から利益を得ることができる暗号通貨裁定取引ボットを入手していると思い込んでいた。
このファイルを開くと、「KANDYKORN」として知られる攻撃の第一段階が開始された。
攻撃を実行するには、被害者はプログラムを実行する必要があった。
被害者を欺くために、元のプログラムは他のファイルをインポートしたり、一見ルーチンな操作を実行したりするため、無害に見えた。
そしてユーザーは、このプログラムを実行する上で重要な役割を無意識のうちに果たし、一見ルーティンな動作に見えるが、実は攻撃の成功に不可欠な動作に参加することになる。
被害者がこのプログラムを実行した後、REF7001攻撃は5つの段階を経て展開された。
攻撃の5段階
ステージ1 - 準備:
オリジナル・プログラムは、別のプログラムをひそかに実行する。この特別なプログラムは、コンピュータの環境を評価し、攻撃の次の段階に備える。
ステージ2 - マルウェアの追加ロード:
コンピュータの環境が確認されると、Pythonスクリプトを仲介する他の2つのファイルが、SUGARLOADER.quotとして知られるプログラムをダウンロードして実行する;
ステージ3 - シュガーローダー:
このプログラムは、さらなる秘密作戦を実行する;
ステージ4 - Discordとしてカモフラージュする:
HLOADER/Discord(fake)"という名前のファイルは、正規のDiscordプログラムのふりをします。これは、被害者のシステム上に欺瞞的なプログラム「SUGARLOADER」の存在を維持するための策略です。
ステージ5 - CANDY CORN";
いったん侵入されると、KANDYKORNは幅広い能力を持つようになる。他のコンピューターからのダウンロードなど、個別のコマンドを受け取ることができる。また、コンピュータの詳細をチェックしたり、別のコンピュータと情報を送受信したり、コンピュータの制御を別の端末に許可したりすることもできる。要するに、完全な違反行為である。
エラスティックはこのキャンペーンを2023年4月まで遡る。
彼らは、シュガーローダーとカンディコーンのC2通信を保護するために使用されている暗号鍵を分析することによってこれを行った。
この脅威は依然として活発で、ツールも技術も進化を続けているようだ。
ラザロ・グループ
Lazarusは有名な北朝鮮の暗号通貨サイバースパイグループである。
その歴史は少なくとも2009年まで遡る。
朝鮮民主主義人民共和国を取り巻く制裁のため、彼らの目的は暗号通貨を盗むことである。デジタル通貨の使用は、そのような国際的制裁を逃れるのに役立つからだ。
ブロックチェーン・フォレンジック会社Chainalysisの9月14日の報告によると、北朝鮮のハッカーは2016年以来、暗号通貨プロジェクトから約35億ドルを盗んだとされている。
国連は、盗まれた資金は北朝鮮の核ミサイル開発支援に使われていると推測している。
コインライブ既報 ラザロ・グループがLinkedInを利用してコンピュータをマルウェアに感染させていたことについて。