コンテンツにスキップするには Enter キーを押してください

北朝鮮のハッカーがTRONユーザーから1日で1億3700万ドルをフィッシング攻撃で盗む

投稿日 2025年5月2日

Image

北朝鮮(別名朝鮮民主主義人民共和国またはDPRK)と関連する複数の脅威活動クラスターが、Web3および暗号通貨分野の組織や個人を標的とした攻撃に関連付けられています。

「Web3と暗号通貨への注目は、北朝鮮に課せられた厳しい制裁のため、主に金銭的な動機によるものと思われます」とGoogle傘下のMandiantは、The Hacker Newsと共有した2025年のM-Trendsレポートで述べています。

「これらの活動は、北朝鮮の大量破壊兵器(WMD)プログラムやその他の戦略的資産を資金提供するために、金銭的利益を生み出すことを目的としています。」

サイバーセキュリティ企業は、DPRK関連の脅威アクターがGolang、C++、Rustなどのさまざまな言語で書かれたカスタムツールを開発し、Windows、Linux、macOSのオペレーティングシステムに感染させる能力を持っていると述べました。

少なくともUNC1069、UNC4899、UNC5342として追跡している3つの脅威活動クラスターが、暗号通貨とブロックチェーン開発コミュニティのメンバーを標的にしていることが判明しており、特にWeb3関連プロジェクトに取り組む開発者に不正アクセスを得ることを目的としています。

各脅威アクターの簡単な説明は以下の通りです –

  • UNC1069(少なくとも2018年4月から活動中)は、偽の会議招待を送信し、Telegram上で著名な企業の投資家を装って被害者のデジタル資産と暗号通貨にアクセスするために、ソーシャルエンジニアリングの策略を用いて多様な業界を標的にしています。
  • UNC4899(2022年から活動中)は、マルウェアを含むコーディング課題として配布する求人テーマのキャンペーンを組織し、以前にはサプライチェーンの妥協を金銭的利益のために行ったことで知られています(Jade Sleet、PUKCHONG、Slow Pisces、TraderTraitorと重複)。
  • UNC5342(少なくとも2022年12月から活動中)は、開発者を騙してマルウェアを含むプロジェクトを実行させる求人関連の誘引を使用することで知られています(Contagious Interview、DeceptiveDevelopment、DEV#POPPER、Famous Chollimaと重複)。

注目すべき他の北朝鮮の脅威アクターには、トレーディングソフトウェアアプリケーションをトロイの木馬化し、2023年初頭に3CXに対するサプライチェーン攻撃に関連付けられたUNC4736があります。

Mandiantは、暗号通貨セクターを標的とした大規模なフィッシングキャンペーンを実施するUNC3782として追跡される別の北朝鮮活動クラスターを特定したと述べました。

「2023年、UNC3782はTRONユーザーを対象にフィッシング作戦を実施し、1日で1億3700万ドル以上の資産を移転しました」と同社は指摘しました。「UNC3782は2024年にSolanaユーザーを標的とし、暗号通貨ドレイナーを含むページに誘導するキャンペーンを開始しました。」

暗号通貨の窃盗は、DPRKが国際制裁を回避するために追求してきた手段の一つです。少なくとも2022年以来、UNC5267と呼ばれるアクティブな脅威クラスターが、主に中国とロシアに居住しながら、米国、ヨーロッパ、アジアの企業でリモート雇用の仕事を確保するために何千人もの市民を派遣しています。

Image

IT労働者の大部分は、北朝鮮の核プログラムを担当する弾薬産業部の313総局に所属していると言われています。

北朝鮮のIT労働者は、盗まれた身元を利用するだけでなく、完全に作り上げたペルソナを使用して活動を支援しています。これは、就職面接中に説得力のある合成アイデンティティを作成するためのリアルタイムのディープフェイク技術の使用によっても補完されています。

「これには2つの主要な運用上の利点があります。第一に、単一のオペレーターが異なる合成ペルソナを使用して同じポジションに複数回面接することができます」とPalo Alto Networks Unit 42の研究者Evan Gordenkerは述べました

「第二に、オペレーターが特定されてセキュリティ速報や指名手配通知に追加されるのを避けるのに役立ちます。これを組み合わせることで、DPRKのIT労働者は運用上のセキュリティを強化し、検出可能性を低下させることができます。」

DPRKのIT労働者スキームは、内部脅威を全く新しいレベルに引き上げ、給与を平壌に送金して戦略的目標を進め、被害者ネットワークへの長期的なアクセスを維持し、さらには雇用主を恐喝するように設計されています。

「彼らはまた、雇用主に対する恐喝キャンペーンを強化し、企業の仮想デスクトップ、ネットワーク、サーバーでの作戦を実施するようになりました」とGoogle Threat Intelligence Group(GTIG)のJamie CollierとMichael Barnhartは先月のレポートで述べました

「彼らは今や、特権アクセスを利用してデータを盗み、サイバー攻撃を可能にするだけでなく、北朝鮮のために収益を生み出しています。」

2024年、Mandiantは、少なくとも12のペルソナを使用して米国とヨーロッパでの雇用を求めている疑わしいDPRKのIT労働者を特定し、偽りの前提で組織に侵入するためのこのような非伝統的な方法に頼ることの有効性を強調しました。

「少なくとも1つの事例では、2つの偽のアイデンティティが米国の企業での仕事に考慮され、1人のDPRKのIT労働者が他の1人を上回りました」と脅威インテリジェンス企業は指摘しました。別の事例では、「1つの組織で12か月間に4人の疑わしいDPRKのIT労働者が雇用されていました。」

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です