暗号資産(仮想通貨)交換業のDMMビットコイン(東京都中央区)から482億円相当のビットコインが不正に流出した事件で、日米の捜査当局は北朝鮮のサイバー脅威グループ、ラザルスに関連するTrader Traiterの犯行と発表しました。
マルウェアが仕込まれたアプリケーション
米CISAは2022年4月20日にTrader Traiterに関するサイバーセキュリティアドバイザリを発行しています。このセキュリティアドバイザリでは、Trader Traiterを悪意のあるアプリケーションと説明しており、システム管理やソフトウェア開発/IT運用(DevOps)に従事する暗号資産企業の従業員に対してリクルーターを偽装したスピアフィッシングメールを送り、高給の仕事を「餌」に誘導してマルウェアが仕込まれた暗号資産アプリケーションTrader Traiterをダウンロードさせる攻撃について説明しています。米CISAのこのセキュリティアドバイザリは、北朝鮮の国家支援を受けたAPTグループによって使用された暗号資産の盗難および戦術に関するサイバー脅威を警鐘する一環として発行され、このグループはサイバーセキュリティ業界では Lazarus Group、APT38、BlueNoroff、および Stardust Chollima として一般的に追跡されている、としています。
警察庁とFBIなどの今回の発表によると、DMMビットコインへの攻撃では、DMM ビットコインの暗号資産の入出金業務を委託されていた企業向け暗号資産ウォレットソフトウェア株式会社Gincoの従業員が狙われたようです。2024年3月下旬に北朝鮮の攻撃者がビジネス特化型のSNSであるLinkedInを介してターゲットであるGincoの従業員に接触、Gincoのウォレット管理システムへのアクセス権を持つターゲットに、就職前テストを装って悪意のあるPythonスクリプトにリンクされたURLを送信し、ターゲットが送信されたPythonコードを個人のGitHubページにコピーしたことから侵害が始まったようです。 そして、2024 年 5 月中旬以降、攻撃者はセッションクッキー情報を悪用して従業員になりすまし、Ginco の暗号化されていない通信システムへのアクセスに成功、2024 年 5 月下旬、攻撃者はこのアクセスを使用して正当な取引リクエストを操作してビットコインを窃取したということです。
LinkedInを悪用した北朝鮮ハッカーの手口については、「LinkedInを利用して接触、架空の求人でマルウェアを仕掛けるサイバー攻撃」のタイトルで記事を書いていますが、LinkedInを使ったソーシャルエンジニアリングは北朝鮮ハッカーのお家芸とも言える手法となっていますので、引き抜きや転職が多いエンジニア系の職種やベンチャー企業などは特に注意が必要です。
APT38の活動を担っていた攻撃者の可能性も
Trader Traiterを使用して攻撃を行っている脅威については、FBIによるとJade SleetやUNC4899、Slow Piscesとしても追跡されているということです。Jade Sleetはマイクロソフト、UNC4899はマンディアント、SlowPiscesはパロアルトネットワークスのユニット42が使っている名称です。ちなみにマンディアントはUNC4899について北朝鮮の偵察総局(RGB)内において暗号資産に焦点を当てた組織だと評価しています。そしてUNC4899はTrader Traitorに相当すると考えられるとし、Trader Traitorは主にブロックチェーン関連企業を標的とする金銭目的の北朝鮮の脅威グループだとしています。
2016年に起きたバングラデシュ中央銀行の不正送金事件は、北朝鮮ラザルスのAPT38による犯行とされていますが、マンディアントによるとAPT38は長期的に活動を休止しており、その活動はサブグループによって行われており、APT38は再編成された可能性があるということです。そして、Trader Traiterは以前APT38の活動を担っていた攻撃者の可能性もあるようです。
※出典
https://www.npa.go.jp/bureau/cyber/koho/caution/caution20241224.html
https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-108a
https://cloud.google.com/blog/ja/topics/threat-intelligence/north-korea-supply-chain