インシデント対応者による新たな報告によると、北朝鮮のハッカーが暗号資産企業の関係者を標的に、偽のZoom会議を含む複数の詐欺と並行して、いくつかの独自のマルウェアを展開したという。
Google傘下のMandiantは、北朝鮮を拠点とする金銭目的の脅威アクターUNC1069が関与した最近の攻撃について、被害者に合わせて高度にカスタマイズされ、標的型であった点が際立っていたとして、詳細な分析を公開した。
ハッカーは当初、別の暗号資産企業幹部の侵害されたアカウントを用いてTelegram経由で被害者に接触した。被害者には、Zoom会議リンクを含む30分の会議用Calendlyリンクが送られた。
「被害者は通話中、別の暗号資産企業のCEOの動画を提示され、それがディープフェイクのように見えたと報告した」とMandiantは説明した。
「Mandiantは、この特定の事例でAIモデルの使用を独自に検証するためのフォレンジック証拠を回収できなかったが、報告された手口は、同様の特徴を持ち、ディープフェイクも使用されたとされる、以前に公に報告された事案に似ている。」
被害者が会議に参加している間、ハッカーは音声に問題があると主張し、解決するためだとして被害者に端末上でいくつかの操作を行うよう求めた。これらの問題は、ClickFix攻撃を隠すための偽装だった。ClickFix攻撃とは、架空の技術的問題を解決しようと被害者に操作させることで、端末にマルウェアをインストールさせる手法である。
このケースでは、被害者はmacOSとWindowsの両方に向けたトラブルシューティング手順が掲載されたWebページへ誘導された。コマンド列の中に、感染チェーンを開始させる1行が埋め込まれていた。
被害者がトラブルシューティングのコマンドに従った結果、macOS端末が感染した。
最初の悪性ファイルは、MandiantがWAVESHAPERおよびHYPERCALLと呼ぶバックドアで、ハッカーが被害者端末上で足場を拡大するための他のツールをインストールできるようにした。
Mandiantは、脅威アクターがDEEPBREATHとCHROMEPUSHという2種類のデータ窃取ツールを使用していたことを確認したと述べた。DEEPBREATHは、認証情報、ブラウザデータ、Telegramのユーザーデータ、Apple Notesのその他データを盗み出すことを可能にした。このマルウェアは情報をすべてZIPアーカイブに圧縮し、リモートサーバーへ送信(流出)させる。
CHROMEPUSHは、Googleドキュメントをオフラインで編集するための無害なブラウザ拡張機能に見せかけた悪性ツールだ。しかし実際には、キーストロークを記録し、ユーザー名とパスワードを追跡し、ブラウザのCookieを盗むなどの動作を行う。
インシデント対応者は、この攻撃が「単一の個人を標的にした単一ホストに、異常に大量のツールが投下された」ものだったと指摘し、可能な限り多くの情報を盗むことを目的とした特定の攻撃だったと考えている。
その目的は二重だった可能性が高いとして、「暗号資産の窃取を可能にすること、そして被害者の身元とデータを悪用して将来のソーシャルエンジニアリング・キャンペーンを促進すること」だと述べた。
Mandiantは、2018年からUNC1069を追跡しており、それ以降、特に最近の中央集権型取引所、金融機関のソフトウェア開発者、ハイテク企業、ベンチャーキャピタル・ファンドの関係者を狙った活動において、手口が顕著に進化しているのを確認しているという。
「UNC1069は、2025年にUNC4899のような他グループと比べると暗号資産強奪における影響は小さいものの、中央集権型取引所や、金銭的利益を目的として組織および個人を標的にする活動的な脅威であり続けている」とMandiantは説明した。
「Mandiantは、2025年にこのグループが、決済、ブローカレッジ、ステーキング、ウォレット基盤といった分野で、金融サービスおよび暗号資産業界を標的に活動していることを観測している。」
UNC1069は、企業組織だけでなく暗号資産業界の人々に対する攻撃で、偽のZoom会議やさまざまなAIツールを使用してきた。Mandiantによれば、この北朝鮮グループがGoogleのGemini AIツールを用いて、作戦上の調査やツール開発などを行っているのを確認しているという。
先月の国連では、米国当局者が述べたところによると、数十カ国が北朝鮮のハッカーによる暗号資産窃取の被害に遭っているという。同国は2025年に暗号資産を20億ドル超盗んだと非難されている。
翻訳元: https://therecord.media/north-korean-hackers-targeted-crypto-exec-clickfix
