以前は犯罪活動に関与していた北朝鮮のハッキング組織である Lazarus グループは、システムに侵入して第三者から暗号通貨を盗むための新しい攻撃スキームに接続されています。Applejeus と呼ばれる既存のマルウェア製品の修正版を使用するこのキャンペーンは、暗号化サイトや文書を使用してシステムにアクセスします。
改ざんされた Lazarus マルウェアが暗号サイトをファサードとして使用
ワシントン DC に本拠を置くサイバーセキュリティ企業である Volexity は、米国政府によってすでに認可されている北朝鮮のハッキング グループである Lazarus を、暗号サイトを使用してシステムに感染させ、第三者から情報と暗号通貨を盗むという脅威に関連付けました。
12 月 1 日に発行されたブログ投稿によると、Lazarus は 6 月に「bloxholder.com」というドメインを登録しました。このドメインは、後に自動暗号通貨取引サービスを提供するビジネスとして確立されます。このサイトをファサードとして使用して、Lazarus はユーザーに、ユーザーのシステムから秘密鍵やその他のデータを盗むように指示された Applejeus マルウェアを配信するためのペイロードとして機能するアプリケーションをダウンロードするように促しました。
同じ戦略が以前に Lazarus によって使用されました。ただし、この新しいスキームは、アプリケーションがマルウェア検出タスクを「混乱させて遅くする」ことを可能にする手法を使用しています。
ドキュメント マクロ
Volexity は、このマルウェアを最終ユーザーに配信する手法が 10 月に変更されたことも発見しました。この方法は、Office ドキュメント、具体的にはマクロを含むスプレッドシートを使用するように変形しました。これは、コンピューターに Applejeus マルウェアをインストールするように設計されたドキュメントに埋め込まれた一種のプログラムです。
「OKX Binance & Huobi VIP 手数料比較.xls」という名前で識別されるこのドキュメントは、これらの取引所の VIP プログラムのそれぞれが異なるレベルで提供すると思われる利点を示しています。この種の攻撃を軽減するには、ドキュメント内のマクロの実行をブロックし、OS での新しいタスクの作成を精査および監視して、バックグラウンドで実行されている新しい未確認のタスクを認識することをお勧めします。ただし、Veloxity は、このキャンペーンが達成したリーチのレベルについては通知しませんでした。
ラザルスは、2021 年 2 月に米国司法省 (DOJ) によって正式に起訴され、北朝鮮の諜報機関である偵察総局 (RGB) に関連するグループの工作員が関与していました。それ以前の 2020 年 3 月、DOJ は、Lazarus のエクスプロイトに関連する 1 億ドル以上の仮想通貨のロンダリングを支援したとして 2 人の中国人を起訴しました。
