- Mandiantは、UNC1069が侵害されたTelegram、偽のZoom通話、ディープフェイク動画を使用していると報告
- 被害者はWAVESHAPER、HYPERCALL、SUGARLOADERを含むマルウェアスイートのインストールを騙される
- 北朝鮮の攻撃者は暗号資産企業を標的にし、LazarusやTraderTraitorのような国家支援の窃盗キャンペーンを継続
北朝鮮のサイバー犯罪者は手口を高度化させているようで、Mandiantの新しい報告によると、ハッカーは現在、侵害されたTelegramアカウント、偽のZoom通話、ディープフェイク動画、そして6種類のマルウェアを組み合わせて使用しているとのことです。
この悪質な手法は、暗号資産セクターの組織に対して使用され、暗号資産の窃取を目的としていたようです。
報告書の中で、Mandiantは、UNC1069として追跡されているグループがこの高度な手法を使用しているのを観測したと述べています。攻撃は、CEOまたは同様のC級幹部の侵害されたTelegramアカウントから始まります。そのアカウントは被害者との会話を開始するために使用され、少しやり取りした後、Zoom通話に招待します。
失敗した攻撃
しかし、その通話は正規のものではありません。それは脅威アクターのインフラストラクチャ(zoom[.]uswe05[.]us)上でホストされた偽装されたZoomミーティングです。通話中、被害者にはなりすましされているCEOのディープフェイク動画が表示され、被害者の音声が機能していないので修正する必要があると主張します。
最後に、従来のClickFixの手法で、被害者には解決策が提示されますが、実際には存在しないエラーを「修正」する代わりに、WAVESHAPER、HYPERCALL、HIDENCALL、SUGARLOADER、SILENCELIFT、DEEPBREATH、CHROMEPUSHといった大量のマルウェアが展開されます。
これらのツールが組み合わさって、永続化、認証情報の収集、ブラウザデータの窃取、長期的なアクセスを可能にする多段階の感染チェーンを形成します。
UNC1069は広く認知されている脅威アクターではありません。ただし、UNCはUncategorized(または Unclassified)の略であるため、以前に観測された脅威アクターがインフラストラクチャまたは手法を変更し、まだ適切に帰属されていないことを意味する可能性があります。
北朝鮮の攻撃者は、暗号資産ビジネスを標的にすることで悪名高いです。最大規模の強奪のいくつかは、Lazarusなどの国家支援グループに帰属されており、これらの集団はしばしば、国が武器プログラムや国家機構に資金を提供するために暗号資産を盗むよう任務を与えられています。
史上最大の暗号資産強奪として記録されたのは、2025年2月21日のドバイを拠点とする取引所Bybitのハッキングで、コールドウォレットから約15億ドル相当のイーサリアム関連資産が盗まれました。アナリストと法執行機関は、この攻撃をLazarus GroupやTraderTraitorを含む北朝鮮の国家支援サイバー犯罪グループに関連付けています。
