北朝鮮関連の暗号通貨脅威：Google Mandiantが高度なマルウェア攻撃を暴露

マンダイアントは、Google Cloud傘下のサイバーセキュリティ部門であり、北朝鮮に関連する急速に激化する脅威活動を発見しました。この活動は、暗号通貨取引所やフィンテックプラットフォームを標的としています。この発見は、セキュリティ研究者が2018年から追跡してきた悪意のある活動の大きな拡大を示しています。脅威グループはUNC1069と命名されており、最先端のツールとAIを活用した欺瞞技術を用いてデジタル資産企業を侵害する、最も高度なキャンペーンの一つです。

データ窃盗を目的とした7つのマルウェアファミリー

調査により、特定のデータ収集能力を持つ7つの異なるマルウェアファミリーが展開された、非常に緊密に連携した侵入が明らかになりました。その中で、3つの新たに特定されたタイプがセキュリティ研究者の注目を集めています。

• SILENCELIFT：持続的なコマンド＆コントロール通信チャネルを確立するために設計された高度なマルウェア
• DEEPBREATH：重要なOSのセキュリティ機能を回避し、ホストの機密情報を抽出するために構築された先進的なマルウェア
• CHROMEPUSH：被害者の資格情報や個人データを外部に送信しつつ、検知システムを回避するために特別に作られたツール

マンダイアントの詳細な報告によると、これらのマルウェアは脅威グループの能力拡大を意図したものであり、WindowsとmacOSの両方のOSに対する高度なリバースエンジニアリング技術と深い理解を示しています。

AI生成のディープフェイクとClickFixソーシャルエンジニアリング

このキャンペーンの特に危険な点は、人工知能をソーシャル操作に組み込んでいることです。脅威アクターは正規のTelegramアカウントを乗っ取り、信頼できる人物のAI生成ディープフェイク動画を使った巧妙なZoom会議を仕組み、暗号通貨企業を狙ったソーシャルエンジニアリングの成功率を大幅に高めています。

また、ClickFix攻撃と呼ばれる手法も利用されており、被害者は一見正当なやり取りを通じて隠されたシステムコマンドを実行させられます。この方法は従来のセキュリティ意識向上訓練を回避し、人間の心理を利用した攻撃です。

暗号業界への影響

暗号通貨やフィンテック企業を標的とするこの活動は、北朝鮮に関連するアクターがデジタル資産の窃盗を最優先事項としていることを示しています。これは、取引所のユーザー、取引プラットフォーム、ブロックチェーンインフラの提供者にとって直接的な脅威です。

暗号通貨プラットフォームを管理するセキュリティチームは、直ちに以下の対策を講じる必要があります。

• 高度な持続的脅威に対するエンドポイント保護ポリシーの見直し
• すべての重要システムに多要素認証を導入
• AIを活用したソーシャルエンジニアリングに焦点を当てたセキュリティ意識向上訓練の実施
• UNC1069マルウェアファミリーに関連する侵害の兆候を監視

この脅威の高まりは、暗号ニュースエコシステム内での警戒心を維持し、ディフェンス・イン・デプス戦略を実施して、国家支援の脅威アクターからデジタル資産とユーザーデータを守ることの重要性を改めて浮き彫りにしています。