Lazarus グループの一部は、複雑なインフラストラクチャ、エクスプロイト、マルウェア インプラントを開発しました。 脅威アクターの BlueNoroff が仮想通貨のスタートアップ アカウントを流出させます。 BlueNoroff は、包括的な攻撃手法を使用します。
Kaspersky のセキュリティ研究者は、APT (Advanced Persistent Threat) 攻撃者 BlueNoroff による、世界中の中小企業に対する一連の攻撃を発見しました。 被害者は、その過程で多額の暗号通貨の損失を被りました。 「SnatchCrypto」と呼ばれるこのキャンペーンは、暗号通貨だけでなく、スマート コントラクト、DeFi、ブロックチェーン、フィンテック業界に関与するさまざまな企業を対象としています。
脅威アクター BlueNoroff による最新のキャンペーンでは、攻撃者は「契約」またはその他のビジネス ファイルを装って、監視機能を備えた本格的な Windows バックドアを従業員に送信することで、標的の企業に対する従業員の信頼を巧みに悪用しました。 攻撃者は、被害者の仮想通貨ウォレットを空にするために、複雑なインフラストラクチャ、エクスプロイト、マルウェア インプラントなど、広範な悪意のあるリソースを開発しました。
ブルーノロフとラザロ
BlueNoroff は Lazarus Group の一員であり、その多様な構造と高度な攻撃技術を活用しています。 この APT グループは、SWIFT に接続された銀行やサーバーを攻撃することで知られており、仮想通貨ソフトウェアを開発するフロント企業の設立にも参加していました [2]。 だまされた顧客は、正規に見えるアプリをインストールし、しばらくするとバックドアを含むアップデートを受け取りました。
その後、APT グループのこの支部は、仮想通貨の新興企業を攻撃するようになりました。 ほとんどの暗号通貨会社は中小企業であるため、社内のセキュリティ システムに多額の投資を行うことはできません。 Lazarus はこれを認識しており、洗練されたソーシャル エンジニアリング手法を通じて悪用しています。
BlueNoroff はベンチャー キャピタル会社を装っています。
被害者の信頼を得るために、BlueNoroff はベンチャー キャピタル会社を装っています。 Kaspersky の研究者は、SnatchCrypto キャンペーン中にブランド名と従業員名が悪用された 15 以上のベンチャー キャピタル企業を発見しました。 セキュリティの専門家によると、実際の企業はこの攻撃や電子メールとは何の関係もありません。 サイバー犯罪者がスタートアップの仮想領域を選んだのには、特定の理由があります。スタートアップは、未知のソースから手紙やファイルを受け取ることがよくあります。 このため、ベンチャー企業から契約書やその他のビジネス関連のファイルが送られてくる可能性は十分にあります。 Lazarus APT アクターは、これをおとりとして使用して、被害者をだまして電子メールの添付ファイル (マクロが有効なドキュメント) を開かせます。
このようなドキュメントがオフラインで開かれる場合、これらのファイルは脅威とはなりませんが、ファイルが開かれたときにコンピュータがインターネットに接続されている場合、別のマクロ有効ドキュメントが被害者のデバイスにダウンロードされ、マルウェアがインストールされます。
BlueNoroff は包括的な攻撃手法を使用します
BlueNoroff APT グループは、侵害兵器庫にさまざまな方法を持ち、状況に応じて感染チェーンを設計します。 この攻撃者は、悪意のある Word ドキュメントに加えて、圧縮された Windows ショートカット ファイルを装ったマルウェアも配布します。 これにより、被害者の情報と Powershell エージェントが送り返され、バックドアが作成されます。 これらを通じて、BlueNoroff は他の悪意のあるツール (キーロガーやスクリーンショット ツール) を使用して被害者を監視します。
その後、攻撃者は被害者を数週間から数か月追跡します。 キーストロークを収集し、ユーザーの日常業務を監視しながら、金融窃盗の戦略を立てます。 仮想通貨ウォレットを管理するために一般的なブラウザ拡張機能 (Metamask 拡張機能など) を使用する著名なターゲットを見つけると、その主要コンポーネントを偽のバージョンに置き換えます。
取引プロセスが傍受され、改ざんされる
Kaspersky の専門家によると、攻撃者は大量の転送が検出されるとすぐに通知を受け取ります。 侵害されたユーザーが別のアカウントに金額を送金しようとすると、トランザクション プロセスが傍受され、独自のロジックが挿入されます。 開始された支払いを完了するには、ユーザーは「承認」ボタンをクリックします。 その瞬間、サイバー犯罪者は受信者のアドレスを変更し、取引額を最大化します。 アカウントは一気に空になります。
Kaspersky Global Research and Analysis Team (GReAT) のシニア セキュリティ リサーチャーである Seongsu Park は次のように述べています。 「特に企業が仮想通貨を使用している場合、仮想通貨が APT アクターやサイバー犯罪者にとって魅力的な標的であることに注意することが重要です。 したがって、この地域は特に保護する価値があります。」
詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。