index
index
Beginner's Guide
Start Here
Courses
Articles
AllアルトコインビットコインブロックチェーンDeFiイーサリアムメタバースNFT取引チュートリアルFutures取引ボットBRC-20GameFiDAOマクロトレンドウォレットInscriptionテクノロジー「ミーム」AISocialFiDePin(ディーピン)ステーブルコインリキッド・ステーキング金融RWAモジュラー型ブロックチェーンゼロ知識証明「リステイキング」「暗号資産ツール」「エアドロップ」「Gateの商品」セキュリティプロジェクト分析CryptoPulseリサーチ TONエコシステム Layer 2Solana支払い マイニング注目のトピックP2PSuiエコシステムチェーン抽象化オプションクイックリード ビデオデイリーレポート
Glossary
Research
My Favorites
Creator Incentive
Activities
Creator's Arena
Campus Ambassador
Video Creators Fest
Daily Study Challenge
Hotspot Check-In
Learn
パラダイム:北朝鮮ハッカーグループラザルスの暴露

パラダイム:北朝鮮ハッカーグループラザルスの暴露

中級
ブロックチェーン
4/11/2025, 3:14:17 AM
Paradigmはどのように研究パラダイムを構築していますか? この記事では、暗号学、経済学、製品実験の領域での考え方の交差点を体系的にレビューし、暗号研究の将来の道筋とパラダイムの転換を提示しています。

オリジナルタイトル『パラダイム:北朝鮮ハッカーグループLazarus Groupの脅威を明らかにする』を転送する

Bybitハッキングの背後にいる犯人であるLazarus Groupについて、組織構造、攻撃手法、防御戦略の観点からの議論。

2月のある朝、SEAL 911グループチャットでライトが点灯しました。私たちは混乱しながらBybitが彼らのコールドウォレットから10億ドル以上相当のトークンを新しいアドレスに移動し、その後2000万ドル以上のLSTを迅速に清算し始めたのを見つめました。数分のうちに、Bybitチームと独立した分析(マルチシグと以前に検証済みのセーフウォレットの実装を含む、今は新たに展開されて未検証の契約に置き換えられています)を通じて、これが通常のメンテナンスではないことを確認しました。誰かが暗号通貨史上最大のハッキングの1つを発動したばかりで、私たちは最前列に座っていました。

チームの一部(広範な調査コミュニティとともに)は資金の追跡とパートナー取引所への通知を始めましたが、他の人々は実際に何が起こったのか、さらに追加の資金が危険にさらされているかどうかを突き止めようとしました。幸いなことに、加害者の特定は簡単でした。過去数年間、わかっている脅威行為者は1人だけです。それは、北朝鮮、またはDPRKとしても知られています。

しかしながら、それ以上の情報はほとんどありませんでした。北朝鮮のハッカーたちの巧妙な性質と優れた隠蔽スキルのため、侵害の根本原因を特定することは極めて困難でした。北朝鮮内部の特定のチームが責任を負っていたかどうかさえ判断することは難しかったのです。私たちが持っていたのは、DPRKのオペレーターがしばしばソーシャルエンジニアリングの戦術に頼ることが多いという既存の情報だけでした。その情報に基づいて、彼らがBybitのマルチシグ署名者を侵害し、署名プロセスに干渉するマルウェアを展開していると推定しました。

結局、その仮定は完全に外れていました。数日後、私たちは北朝鮮が実際にセーフウォレットのインフラを侵害し、Bybitをターゲットにしたカスタマイズされた悪意のあるオーバーロードを展開していたことを発見しました。この攻撃の複雑さは、誰もが予想または準備していなかったものを超えており、市場に存在する多くの既存のセキュリティモデルに深刻な挑戦を投げかけていました。

北朝鮮のハッカーは、私たちの産業に対する増大する脅威を示しています。理解していない敵には勝つことはできません。北朝鮮のサイバー作戦に関する多くの文書化された事件や記事がありますが、それらをすべて組み合わせるのは難しいです。この概要が北朝鮮の運営方法、戦略と手順、そして最終的には適切な緩和策を実施するのにどのように役立つかをより明確に示すことを願っています。

組織構造

北朝鮮の包括的なサイバー活動を分類し、命名する方法について誤解されている最大の誤解の1つは、コロキアルに「ラザロス・グループ」という用語を使用して包括的なラベルとして使用することが許容されている一方で、北朝鮮によるシステム的なサイバー脅威について詳細に議論する際には、より正確な用語が役立ちます。

まず、北朝鮮の「組織図」を理解するのに役立ちます。トップには、統治者であり唯一の政党である朝鮮労働党(WPK)があり、すべての国家機関を監督しています。これには、朝鮮人民軍(KPA)と中央委員会も含まれます。KPA内には、偵察総局(RGB)がある総参謀部(GSD)が存在します。中央委員会の下には、兵器工業省(MID)があります。

RGBは、ほとんどすべての北朝鮮のサイバー作戦に責任を持っており、暗号業界で観察されるほとんどの活動を含んでいます。悪名高いLazarusグループに加えて、RGBから発信される他の脅威要因には、AppleJeus、APT38、DangerousPassword、TraderTraitorが含まれます。一方、MIDは北朝鮮の核ミサイルプログラムを監督し、国の海外IT労働者の主要な源泉です。情報機関は、これらの要因をContagious InterviewとWagemoleとして特定しています。

ラザルス・グループ

Lazarus Groupは非常に洗練されたハッキング組織です。サイバーセキュリティ専門家は、歴史上最大かつ最も破壊的なサイバー攻撃のいくつかがこのグループによって行われたと信じています。2016年、Novettaはソニー・ピクチャーズ・エンターテインメントのハッキングを分析してLazarus Groupを特定しました。

2014年、ソニーは、中心となるプロットが金正恩の屈辱と最終的な暗殺を含むアクションコメディー『The Interview』の製作をしていました。当然ながら、これは北朝鮮政権に歓迎されるものではありませんでした。北朝鮮政権は報復として、ソニーのネットワークに侵入し、数テラバイトのデータを盗み、数百ギガバイトの機密情報や機微な情報を流出させ、元のデータを削除しました。当時のCEOであるマイケル・ライトンは、「これを行った人々は家の中のすべてを盗むだけでなく、家を焼き払った」と述べています。最終的に、ソニーは、この攻撃に関連する調査と是正に少なくとも1500万ドルを費やしました。実際の被害額はさらに高かった可能性があります。

2016年、Lazarus Groupと非常によく似たハッカーグループがバングラデシュ銀行に侵入し、約10億ドルを盗もうとしました。ハッカーは1年間にわたり、銀行員に対してソーシャルエンジニアリング攻撃を行い、最終的にリモートアクセスを獲得し、ネットワーク内を水平移動して、SWIFTシステムとインターフェースするコンピューターに到達しました。そこから、バングラデシュは木曜日に週末を迎え、ニューヨーク連邦準備制度理事会(FRB)は金曜日に休みを取るという絶好の機会を待ちました。現地時間の木曜日の夜、攻撃者はSWIFTアクセスを使用して、現地時間の金曜日の早朝にニューヨーク連銀に36件の送金リクエストを送信しました。次の24時間で、FRBは送金をフィリピンのリサール商業銀行(RCBC)に転送し、処理を開始しました。バングラデシュ銀行が営業を再開する頃には、侵害に気付き、RCBCに連絡して取引を停止しようとしましたが、銀行は旧正月休暇で休業していたことがわかりました。

2017年、世界中の産業を壊滅させた広範なWannaCry 2.0ランサムウェア攻撃が発生し、部分的にLazarus Groupに帰属されています。数十億ドルの損失を引き起こしたと推定されており、WannaCryは元々NSAによって開発されたMicrosoft Windowsゼロデイ脆弱性を悪用しました。それはローカルマシンを暗号化し、アクセス可能なデバイス全体に伝播し、結果として世界中の数十万のシステムに感染しました。幸いにも、セキュリティ研究者のMarcus Hutchinsが発見し、8時間以内にキルスイッチを作動させ、被害の規模を制限しました。

その歴史を通じて、Lazarus Groupは卓越した技術力と運用効率を示してきました。彼らの主な目標の1つは、北朝鮮政権の収入を生み出すことです。彼らが仮想通貨業界に注目するのは時間の問題でした。

Lazarus Spin-Offs and Evolving Threats

長い間、ラザラス・グループという言葉は、北朝鮮のサイバー活動を表す一般的な言葉としてメディアでよく使われるようになりました。サイバーセキュリティ産業は、ラザラス・グループと北朝鮮に関連する特定の活動に対してより正確な名称を開発し始めました。APT38はその一例です。2016年頃、それはラザラス・グループから分離し、初めは銀行(バングラデシュ銀行など)を標的にし、後には仮想通貨に特化した金融犯罪に焦点を当てるようになりました。2018年には、仮想通貨利用者を標的にしたマルウェアを配布する新たな脅威であるAppleJeusが発見されました。また、2018年には、北朝鮮人が使った二つの表向きの企業に対して初めてOFACが制裁を発表した際に、北朝鮮の工作員がIT関連の業界に浸透していたことが既に明らかになっていました。

北朝鮮のIT労働者

北朝鮮のIT労働者についての最初の記録された言及は2018年のOFAC制裁にさかのぼりますが、Unit 42の2023年の報告書はより詳細な説明を提供し、2つの異なる脅威アクター、Contagious InterviewとWagemoleを特定しました。

Contagious Interviewは、有名企業の採用担当者を装って開発者を誘い出し、偽の面接プロセスに巻き込むことで知られています。見込み候補者には、ローカルデバッグのためにリポジトリをクローンするよう指示されます。これはコーディングチャレンジの一環として提示されますが、そのリポジトリにはバックドアが含まれています。コードを実行すると、攻撃者が影響を受けたマシンを制御できるようになります。この活動は継続中で、最近のインシデントは2024年8月11日に記録されました。

一方、Wagemoleは被害者を誘惑しません—彼らは実在する企業に雇われ、普通のエンジニアとして溶け込みますが、しばしば生産性が低いです。とは言っても、IT従業員が悪意を持ってアクセスを利用する事例が記録されています。Munchables事件では、北朝鮮の活動に関連する従業員が特権アクセスを悪用し、全資産を盗みました。

Wagemoleエージェントの洗練度は非常に異なります。一部は汎用の履歴書テンプレートを使用し、ビデオ通話を拒否しますが、他のエージェントはカスタマイズされた履歴書を提出し、ディープフェイクビデオ面接に参加し、運転免許証や公共料金請求書などの偽のIDを提供します。場合によっては、エージェントは被害組織内に最大1年間滞在し、アクセス権を利用して他のシステムに浸透したり、完全に現金化したりすることがあります。

AppleJeus

AppleJeusは主にマルウェアの配布に重点を置き、複雑なサプライチェーン攻撃の実行に熟練しています。 2023年、3CXのサプライチェーン攻撃により、脅威のアクターは3CX VoIPソフトウェアの1200万人以上のユーザーを潜在的に感染させることができました。 後に、3CX自体が上流のベンダーであるTrading Technologies 13のサプライチェーン攻撃の影響を受けていたことが発見されました。

暗号通貨業界では、AppleJeusは最初、トレーディングプラットフォームや暗号通貨ウォレットなどの正規のソフトウェアに偽装したマルウェアを拡散させました。しかし、時間の経過とともに、彼らの戦術は進化しました。2024年10月、Radiant Capitalは、Telegramを介してマルウェアを提供する信頼できる請負業者を装った脅威行為者によって侵害されました。Mandiantはこの攻撃をAppleJeusに帰属させました。

危険なパスワード

Dangerous Passwordは、暗号通貨業界を標的とした低複雑度の社会工学攻撃に責任があります。JPCERT/CCは2019年早々に、Dangerous Passwordが誘惑的な添付ファイルを含むフィッシングメールを送信していることを文書化しました。近年、Dangerous Passwordは、暗号空間でよく知られている人物になりすまして、「ステーブルコインや暗号資産における巨大なリスク」という件名のフィッシングメールを送信しています。

今日、Dangerous Passwordはフィッシングメールを送り続けていますが、その活動を他のプラットフォームにも拡大しています。たとえば、Radiant Capitalはセキュリティ研究者を装った誰かからTelegramを通じてフィッシングメッセージを受け取ったと報告しています。そのメッセージには「Penpie_Hacking_Analysis_Report.zip」というファイルが含まれていました。さらに、ユーザーはジャーナリストや投資家を装った個人から連絡を受けたと報告しており、そうした人々はあいまいなビデオ会議アプリを使用して通話をスケジュールするよう求めてきました。Zoomのようなこれらのアプリは、ユーザーに一度だけのインストーラーをダウンロードするよう促しますが、実行するとユーザーのデバイスにマルウェアがインストールされてしまいます。

TraderTraitor

TraderTraitorは、暗号通貨業界を標的とする最も洗練された北朝鮮のハッカーグループであり、Axie Infinityや Rain.com などのプラットフォームへの攻撃に関連しています。TraderTraitorは、ほぼ独占的に大規模な準備金を持つ取引所や企業をターゲットとし、ゼロデイ脆弱性を使用していません。代わりに、高度に洗練されたスピアフィッシング技術を採用して、被害者を危険にさらします。Axie Infinityの侵害では、TraderTraitorはLinkedInを介してシニアエンジニアに連絡し、一連の面接を受けるように説得することに成功し、最終的にマルウェアペイロードを配信する「求人」を送信しました。WazirX攻撃では、TraderTraitorの工作員がトランザクション署名パイプラインの未確認のコンポーネントを侵害しました。その後、資金の入出金を繰り返すことで取引所のホットウォレットを枯渇させ、エンジニアにコールドウォレットからリバランスするよう促しました。WazirXのエンジニアは、資金を転送するためのトランザクションに署名しようとしたとき、彼らはTraderTraitorにコールドウォレットの制御を渡すトランザクションを承認するためにだまされた。これは、2025年2月に発生したBybitへの攻撃と非常によく似ており、TraderTraitorはまずソーシャルエンジニアリングを通じてSafe{Wallet}インフラストラクチャを侵害し、その後、Bybitのコールドウォレットで特に使用されるSafe Walletフロントエンドに悪意のあるJavaScriptを展開しました。Bybitがウォレットのリバランスを試みると、悪意のあるコードがトリガーされ、Bybitのエンジニアが無意識のうちにコールドウォレットの制御をTraderTraitorに移すトランザクションに署名しました。

安全に滞在する

北朝鮮は、敵対者に対してゼロデイの脆弱性を展開する能力を実証していますが、これまでに暗号通貨業界に対してゼロデイが使用されたと記録された事例はありません。したがって、北朝鮮のハッカーによって提示されたほぼすべての脅威には標準のセキュリティアドバイスが適用されます。

個人にとって、常識とソーシャルエンジニアリングに対する警戒が重要です。例えば、誰かが極めて機密性の高い情報を持っていると主張し、それを共有すると申し出た場合は慎重に行動してください。また、誰かが時間的なプレッシャーをかけ、ソフトウェアをダウンロードして実行するよう要求してくる場合は、その人があなたが合理的に考えることを妨げようとしているのかどうかを考えてください。

組織においては、できる限り最小限の権限の原則を適用してください。機密システムへのアクセス権を持つ人数を最小限に抑え、パスワードマネージャーと二要素認証(2FA)を使用するようにしてください。個人用と仕事用のデバイスを分けて保持し、仕事用の機器には事前侵害セキュリティと事後侵害可視化の両方を維持するためにモバイルデバイス管理(MDM)とエンドポイント検知応答(EDR)ツールをインストールしてください。

残念ながら、大手取引所やその他の高価値なターゲットにとって、TraderTraitorはゼロデイを使用しなくても予想以上の被害をもたらす可能性があります。そのため、単一の障害点を排除するために追加の注意が必要です。つまり、単一の妥協が完全な財務損失につながらないようにするための予防措置が必要です。

それでも、すべてが失敗しても、希望はある。FBIには、北朝鮮の侵入を追跡し防止するための専任チームがおり、数年間、積極的に被害者に通知を行ってきました。最近、私はそのチームが潜在的な北朝鮮の標的とつながるのを手伝って喜んでいました。したがって、最悪の事態に備えて、公に利用可能な連絡先情報を確認し、またはエコシステム全体で強力な関係を維持すること(例えば、SEAL 911など)で、重要な警報ができるだけ迅速にあなたに届くようにしてください。

免責事項:

  1. この記事は[から転載されていますForesightNews].原題は「Paradigm: Unveiling the Threat of the North Korean Hacker Group Lazarus Group」。すべての著作権は原著作者に帰属します[samczsun, パラダイムのリサーチパートナー]. この転載に異議がある場合は、お問い合わせください。Gate Learnチームはそれを適切な手続きに従って迅速に処理します。

  2. 免責事項:この記事で表現されている意見は、著者個人の意見を示すものであり、投資アドバイスを構成するものではありません。

  3. 記事の翻訳は、Gate Learnチームによって他の言語に行われます。言及しないでくださいGate.io, 翻訳されたバージョンをコピー、配布、または盗用することは禁止されています。

Share

Content

組織構造

Lazarus Group

Lazarus Spin-Offs and Evolving Threats

北朝鮮のIT労働者

AppleJeus

危険なパスワード

トレーダートレイター

安全に留まる

パラダイム:北朝鮮ハッカーグループラザルスの暴露

中級4/11/2025, 3:14:17 AM
Paradigmはどのように研究パラダイムを構築していますか? この記事では、暗号学、経済学、製品実験の領域での考え方の交差点を体系的にレビューし、暗号研究の将来の道筋とパラダイムの転換を提示しています。
ブロックチェーン

組織構造

Lazarus Group

Lazarus Spin-Offs and Evolving Threats

北朝鮮のIT労働者

AppleJeus

危険なパスワード

トレーダートレイター

安全に留まる

オリジナルタイトル『パラダイム:北朝鮮ハッカーグループLazarus Groupの脅威を明らかにする』を転送する

Bybitハッキングの背後にいる犯人であるLazarus Groupについて、組織構造、攻撃手法、防御戦略の観点からの議論。

2月のある朝、SEAL 911グループチャットでライトが点灯しました。私たちは混乱しながらBybitが彼らのコールドウォレットから10億ドル以上相当のトークンを新しいアドレスに移動し、その後2000万ドル以上のLSTを迅速に清算し始めたのを見つめました。数分のうちに、Bybitチームと独立した分析(マルチシグと以前に検証済みのセーフウォレットの実装を含む、今は新たに展開されて未検証の契約に置き換えられています)を通じて、これが通常のメンテナンスではないことを確認しました。誰かが暗号通貨史上最大のハッキングの1つを発動したばかりで、私たちは最前列に座っていました。

チームの一部(広範な調査コミュニティとともに)は資金の追跡とパートナー取引所への通知を始めましたが、他の人々は実際に何が起こったのか、さらに追加の資金が危険にさらされているかどうかを突き止めようとしました。幸いなことに、加害者の特定は簡単でした。過去数年間、わかっている脅威行為者は1人だけです。それは、北朝鮮、またはDPRKとしても知られています。

しかしながら、それ以上の情報はほとんどありませんでした。北朝鮮のハッカーたちの巧妙な性質と優れた隠蔽スキルのため、侵害の根本原因を特定することは極めて困難でした。北朝鮮内部の特定のチームが責任を負っていたかどうかさえ判断することは難しかったのです。私たちが持っていたのは、DPRKのオペレーターがしばしばソーシャルエンジニアリングの戦術に頼ることが多いという既存の情報だけでした。その情報に基づいて、彼らがBybitのマルチシグ署名者を侵害し、署名プロセスに干渉するマルウェアを展開していると推定しました。

結局、その仮定は完全に外れていました。数日後、私たちは北朝鮮が実際にセーフウォレットのインフラを侵害し、Bybitをターゲットにしたカスタマイズされた悪意のあるオーバーロードを展開していたことを発見しました。この攻撃の複雑さは、誰もが予想または準備していなかったものを超えており、市場に存在する多くの既存のセキュリティモデルに深刻な挑戦を投げかけていました。

北朝鮮のハッカーは、私たちの産業に対する増大する脅威を示しています。理解していない敵には勝つことはできません。北朝鮮のサイバー作戦に関する多くの文書化された事件や記事がありますが、それらをすべて組み合わせるのは難しいです。この概要が北朝鮮の運営方法、戦略と手順、そして最終的には適切な緩和策を実施するのにどのように役立つかをより明確に示すことを願っています。

組織構造

北朝鮮の包括的なサイバー活動を分類し、命名する方法について誤解されている最大の誤解の1つは、コロキアルに「ラザロス・グループ」という用語を使用して包括的なラベルとして使用することが許容されている一方で、北朝鮮によるシステム的なサイバー脅威について詳細に議論する際には、より正確な用語が役立ちます。

まず、北朝鮮の「組織図」を理解するのに役立ちます。トップには、統治者であり唯一の政党である朝鮮労働党(WPK)があり、すべての国家機関を監督しています。これには、朝鮮人民軍(KPA)と中央委員会も含まれます。KPA内には、偵察総局(RGB)がある総参謀部(GSD)が存在します。中央委員会の下には、兵器工業省(MID)があります。

RGBは、ほとんどすべての北朝鮮のサイバー作戦に責任を持っており、暗号業界で観察されるほとんどの活動を含んでいます。悪名高いLazarusグループに加えて、RGBから発信される他の脅威要因には、AppleJeus、APT38、DangerousPassword、TraderTraitorが含まれます。一方、MIDは北朝鮮の核ミサイルプログラムを監督し、国の海外IT労働者の主要な源泉です。情報機関は、これらの要因をContagious InterviewとWagemoleとして特定しています。

ラザルス・グループ

Lazarus Groupは非常に洗練されたハッキング組織です。サイバーセキュリティ専門家は、歴史上最大かつ最も破壊的なサイバー攻撃のいくつかがこのグループによって行われたと信じています。2016年、Novettaはソニー・ピクチャーズ・エンターテインメントのハッキングを分析してLazarus Groupを特定しました。

2014年、ソニーは、中心となるプロットが金正恩の屈辱と最終的な暗殺を含むアクションコメディー『The Interview』の製作をしていました。当然ながら、これは北朝鮮政権に歓迎されるものではありませんでした。北朝鮮政権は報復として、ソニーのネットワークに侵入し、数テラバイトのデータを盗み、数百ギガバイトの機密情報や機微な情報を流出させ、元のデータを削除しました。当時のCEOであるマイケル・ライトンは、「これを行った人々は家の中のすべてを盗むだけでなく、家を焼き払った」と述べています。最終的に、ソニーは、この攻撃に関連する調査と是正に少なくとも1500万ドルを費やしました。実際の被害額はさらに高かった可能性があります。

2016年、Lazarus Groupと非常によく似たハッカーグループがバングラデシュ銀行に侵入し、約10億ドルを盗もうとしました。ハッカーは1年間にわたり、銀行員に対してソーシャルエンジニアリング攻撃を行い、最終的にリモートアクセスを獲得し、ネットワーク内を水平移動して、SWIFTシステムとインターフェースするコンピューターに到達しました。そこから、バングラデシュは木曜日に週末を迎え、ニューヨーク連邦準備制度理事会(FRB)は金曜日に休みを取るという絶好の機会を待ちました。現地時間の木曜日の夜、攻撃者はSWIFTアクセスを使用して、現地時間の金曜日の早朝にニューヨーク連銀に36件の送金リクエストを送信しました。次の24時間で、FRBは送金をフィリピンのリサール商業銀行(RCBC)に転送し、処理を開始しました。バングラデシュ銀行が営業を再開する頃には、侵害に気付き、RCBCに連絡して取引を停止しようとしましたが、銀行は旧正月休暇で休業していたことがわかりました。

2017年、世界中の産業を壊滅させた広範なWannaCry 2.0ランサムウェア攻撃が発生し、部分的にLazarus Groupに帰属されています。数十億ドルの損失を引き起こしたと推定されており、WannaCryは元々NSAによって開発されたMicrosoft Windowsゼロデイ脆弱性を悪用しました。それはローカルマシンを暗号化し、アクセス可能なデバイス全体に伝播し、結果として世界中の数十万のシステムに感染しました。幸いにも、セキュリティ研究者のMarcus Hutchinsが発見し、8時間以内にキルスイッチを作動させ、被害の規模を制限しました。

その歴史を通じて、Lazarus Groupは卓越した技術力と運用効率を示してきました。彼らの主な目標の1つは、北朝鮮政権の収入を生み出すことです。彼らが仮想通貨業界に注目するのは時間の問題でした。

Lazarus Spin-Offs and Evolving Threats

長い間、ラザラス・グループという言葉は、北朝鮮のサイバー活動を表す一般的な言葉としてメディアでよく使われるようになりました。サイバーセキュリティ産業は、ラザラス・グループと北朝鮮に関連する特定の活動に対してより正確な名称を開発し始めました。APT38はその一例です。2016年頃、それはラザラス・グループから分離し、初めは銀行(バングラデシュ銀行など)を標的にし、後には仮想通貨に特化した金融犯罪に焦点を当てるようになりました。2018年には、仮想通貨利用者を標的にしたマルウェアを配布する新たな脅威であるAppleJeusが発見されました。また、2018年には、北朝鮮人が使った二つの表向きの企業に対して初めてOFACが制裁を発表した際に、北朝鮮の工作員がIT関連の業界に浸透していたことが既に明らかになっていました。

北朝鮮のIT労働者

北朝鮮のIT労働者についての最初の記録された言及は2018年のOFAC制裁にさかのぼりますが、Unit 42の2023年の報告書はより詳細な説明を提供し、2つの異なる脅威アクター、Contagious InterviewとWagemoleを特定しました。

Contagious Interviewは、有名企業の採用担当者を装って開発者を誘い出し、偽の面接プロセスに巻き込むことで知られています。見込み候補者には、ローカルデバッグのためにリポジトリをクローンするよう指示されます。これはコーディングチャレンジの一環として提示されますが、そのリポジトリにはバックドアが含まれています。コードを実行すると、攻撃者が影響を受けたマシンを制御できるようになります。この活動は継続中で、最近のインシデントは2024年8月11日に記録されました。

一方、Wagemoleは被害者を誘惑しません—彼らは実在する企業に雇われ、普通のエンジニアとして溶け込みますが、しばしば生産性が低いです。とは言っても、IT従業員が悪意を持ってアクセスを利用する事例が記録されています。Munchables事件では、北朝鮮の活動に関連する従業員が特権アクセスを悪用し、全資産を盗みました。

Wagemoleエージェントの洗練度は非常に異なります。一部は汎用の履歴書テンプレートを使用し、ビデオ通話を拒否しますが、他のエージェントはカスタマイズされた履歴書を提出し、ディープフェイクビデオ面接に参加し、運転免許証や公共料金請求書などの偽のIDを提供します。場合によっては、エージェントは被害組織内に最大1年間滞在し、アクセス権を利用して他のシステムに浸透したり、完全に現金化したりすることがあります。

AppleJeus

AppleJeusは主にマルウェアの配布に重点を置き、複雑なサプライチェーン攻撃の実行に熟練しています。 2023年、3CXのサプライチェーン攻撃により、脅威のアクターは3CX VoIPソフトウェアの1200万人以上のユーザーを潜在的に感染させることができました。 後に、3CX自体が上流のベンダーであるTrading Technologies 13のサプライチェーン攻撃の影響を受けていたことが発見されました。

暗号通貨業界では、AppleJeusは最初、トレーディングプラットフォームや暗号通貨ウォレットなどの正規のソフトウェアに偽装したマルウェアを拡散させました。しかし、時間の経過とともに、彼らの戦術は進化しました。2024年10月、Radiant Capitalは、Telegramを介してマルウェアを提供する信頼できる請負業者を装った脅威行為者によって侵害されました。Mandiantはこの攻撃をAppleJeusに帰属させました。

危険なパスワード

Dangerous Passwordは、暗号通貨業界を標的とした低複雑度の社会工学攻撃に責任があります。JPCERT/CCは2019年早々に、Dangerous Passwordが誘惑的な添付ファイルを含むフィッシングメールを送信していることを文書化しました。近年、Dangerous Passwordは、暗号空間でよく知られている人物になりすまして、「ステーブルコインや暗号資産における巨大なリスク」という件名のフィッシングメールを送信しています。

今日、Dangerous Passwordはフィッシングメールを送り続けていますが、その活動を他のプラットフォームにも拡大しています。たとえば、Radiant Capitalはセキュリティ研究者を装った誰かからTelegramを通じてフィッシングメッセージを受け取ったと報告しています。そのメッセージには「Penpie_Hacking_Analysis_Report.zip」というファイルが含まれていました。さらに、ユーザーはジャーナリストや投資家を装った個人から連絡を受けたと報告しており、そうした人々はあいまいなビデオ会議アプリを使用して通話をスケジュールするよう求めてきました。Zoomのようなこれらのアプリは、ユーザーに一度だけのインストーラーをダウンロードするよう促しますが、実行するとユーザーのデバイスにマルウェアがインストールされてしまいます。

TraderTraitor

TraderTraitorは、暗号通貨業界を標的とする最も洗練された北朝鮮のハッカーグループであり、Axie Infinityや Rain.com などのプラットフォームへの攻撃に関連しています。TraderTraitorは、ほぼ独占的に大規模な準備金を持つ取引所や企業をターゲットとし、ゼロデイ脆弱性を使用していません。代わりに、高度に洗練されたスピアフィッシング技術を採用して、被害者を危険にさらします。Axie Infinityの侵害では、TraderTraitorはLinkedInを介してシニアエンジニアに連絡し、一連の面接を受けるように説得することに成功し、最終的にマルウェアペイロードを配信する「求人」を送信しました。WazirX攻撃では、TraderTraitorの工作員がトランザクション署名パイプラインの未確認のコンポーネントを侵害しました。その後、資金の入出金を繰り返すことで取引所のホットウォレットを枯渇させ、エンジニアにコールドウォレットからリバランスするよう促しました。WazirXのエンジニアは、資金を転送するためのトランザクションに署名しようとしたとき、彼らはTraderTraitorにコールドウォレットの制御を渡すトランザクションを承認するためにだまされた。これは、2025年2月に発生したBybitへの攻撃と非常によく似ており、TraderTraitorはまずソーシャルエンジニアリングを通じてSafe{Wallet}インフラストラクチャを侵害し、その後、Bybitのコールドウォレットで特に使用されるSafe Walletフロントエンドに悪意のあるJavaScriptを展開しました。Bybitがウォレットのリバランスを試みると、悪意のあるコードがトリガーされ、Bybitのエンジニアが無意識のうちにコールドウォレットの制御をTraderTraitorに移すトランザクションに署名しました。

安全に滞在する

北朝鮮は、敵対者に対してゼロデイの脆弱性を展開する能力を実証していますが、これまでに暗号通貨業界に対してゼロデイが使用されたと記録された事例はありません。したがって、北朝鮮のハッカーによって提示されたほぼすべての脅威には標準のセキュリティアドバイスが適用されます。

個人にとって、常識とソーシャルエンジニアリングに対する警戒が重要です。例えば、誰かが極めて機密性の高い情報を持っていると主張し、それを共有すると申し出た場合は慎重に行動してください。また、誰かが時間的なプレッシャーをかけ、ソフトウェアをダウンロードして実行するよう要求してくる場合は、その人があなたが合理的に考えることを妨げようとしているのかどうかを考えてください。

組織においては、できる限り最小限の権限の原則を適用してください。機密システムへのアクセス権を持つ人数を最小限に抑え、パスワードマネージャーと二要素認証(2FA)を使用するようにしてください。個人用と仕事用のデバイスを分けて保持し、仕事用の機器には事前侵害セキュリティと事後侵害可視化の両方を維持するためにモバイルデバイス管理(MDM)とエンドポイント検知応答(EDR)ツールをインストールしてください。

残念ながら、大手取引所やその他の高価値なターゲットにとって、TraderTraitorはゼロデイを使用しなくても予想以上の被害をもたらす可能性があります。そのため、単一の障害点を排除するために追加の注意が必要です。つまり、単一の妥協が完全な財務損失につながらないようにするための予防措置が必要です。

それでも、すべてが失敗しても、希望はある。FBIには、北朝鮮の侵入を追跡し防止するための専任チームがおり、数年間、積極的に被害者に通知を行ってきました。最近、私はそのチームが潜在的な北朝鮮の標的とつながるのを手伝って喜んでいました。したがって、最悪の事態に備えて、公に利用可能な連絡先情報を確認し、またはエコシステム全体で強力な関係を維持すること(例えば、SEAL 911など)で、重要な警報ができるだけ迅速にあなたに届くようにしてください。

免責事項:

  1. この記事は[から転載されていますForesightNews].原題は「Paradigm: Unveiling the Threat of the North Korean Hacker Group Lazarus Group」。すべての著作権は原著作者に帰属します[samczsun, パラダイムのリサーチパートナー]. この転載に異議がある場合は、お問い合わせください。Gate Learnチームはそれを適切な手続きに従って迅速に処理します。

  2. 免責事項:この記事で表現されている意見は、著者個人の意見を示すものであり、投資アドバイスを構成するものではありません。

  3. 記事の翻訳は、Gate Learnチームによって他の言語に行われます。言及しないでくださいGate.io, 翻訳されたバージョンをコピー、配布、または盗用することは禁止されています。

Start Now
Sign up and get a
$100
Voucher!