インシデント対応者は、ウェブ開発者の暗号資産保有資産を標的とした最近の北朝鮮キャンペーンに関する多くの新しい情報を発見した。
エクスペル社のマーカス・ハッチンスは、HexagonalRodentと呼ぶグループに関するレポートを公開し、その活動を「Famous Chollima」として追跡されている北朝鮮の国家支援アクターにリンクさせた。
ハッチンスは、このグループが2026年の最初の3ヶ月間に、個人デバイスへのマルウェア攻撃を通じて最大1200万ドルの暗号資産を盗んだと述べた。ハッカーはBeaverTail、OtterCookie、InvisibleFerretを含むさまざまなマルウェア株を使用して、2,726台の感染したシステムに保有されている26,584の暗号資産ウォレットから資金を抽出した。
ハッチンスは、調査は10月に開始され、顧客ネットワーク上のBeaverTailマルウェア感染を調査していた時だと述べた。BeaverTailとInvisibleFerretの両方は、以前に他のインシデント対応企業によって北朝鮮のハッカーにリンクされていた。
調査により、脅威アクターが作成したインフラストラクチャへと導き、その活動がどのように内部から機能していたかについて垣間見ることができた。
キャンペーン背後の脅威アクターは、偽の企業を装いながらLinkedInを通じて連絡を取り、高給の仕事を申し出でWeb3開発者を標的にした。一つの事例では、ハッカーは求職者を説得する努力の一環として、メキシコに偽の企業を登録した。
ハッチンスは、脅威アクターがマルウェアコードを改善するだけでなく、偽の仕事を提供するために使用できる偽の企業とLinkedInアカウントを作成するためにジェネレーティブAIを使用したと述べた。
偽の仕事の申し出で開発者に連絡した後、被害者はマルウェアが埋め込まれたコーディング評価ツールをダウンロードするよう求められた。
エクスペル社の研究者は、BeaverTailに関連するメトリクスをキャプチャするためにグループが使用する内部パネルへのアクセス権を取得した。マルウェアは、ハッカーがパスワードマネージャー、macOS Keychain、およびその他の認証情報を流出させることを可能にしている。
内部文書は、HexagonalRodentキャンペーンが6つの異なるチームの31人のハッカー間で分かれていることを示した。HexagonalRodentの過去のメンバーが分離して独自の活動を形成したという証拠がある。
より小規模な攻撃
エクスペル社の発見は、暗号資産の盗難に対する北朝鮮の多様なアプローチの別の例である。何億ドルもの暗号資産交換に対する高度な攻撃に加えて、複数の北朝鮮のオペレータは、日常ユーザーから比較的少額の資金を流出させることに焦点を当てている。
「過去4年間、技術産業は大量レイオフの波に見舞われてきた。これはおそらくDPRKの詐欺的なITワーカースキームに大きな影響を与え、他の収入創出手段へのリソース再配分を強いられた」とハッチンスは述べた。
「多くのソフトウェアエンジニアが失業し、非常に少ない雇用機会があるため、北朝鮮国家支援ハッカーにとって目標を捉えることがより容易になる。開発者が数百または数千の仕事に応募し、コールバックを受けずに、ついにその仕事のオファーが来たときに警戒心を失う可能性がある。」
このレポートは、北朝鮮政府が2つの別々の暗号資産強盗を開始したと非難された数日後に発表された。これにより、各プラットフォームから2億8000万ドル以上を盗むことができた。
サイバーセキュリティ企業は、北朝鮮のハッカーがマルウェアで開発者を具体的に標的にする専任チームを持っていることについて、暗号資産産業に警告し続けている。
先週、マイクロソフトは、ハッカーが暗号資産資産を盗んで認証情報を収集することを可能にするmacOSを標的とした北朝鮮キャンペーンを発見した。別の企業は今週、macOSも標的にした偽会議を含むピョンヤン主導のキャンペーンを特定した。
翻訳元: https://therecord.media/north-korean-hackers-siphon-12-million-from-crypto-users
