◎macOSマルウェアで金融機関を標的にした北朝鮮の「BlueNoroff」グループ(機械翻訳)
北朝鮮政府が支援するハッキンググループが、macOSに影響を与えるマルウェアで金融機関を標的にしています。
セキュリティ企業Jamfの研究者は、新しいレポートで、BlueNoroffとして知られる高度で持続的な脅威グループが、金銭的な動機による攻撃で暗号通貨取引所、ベンチャーキャピタル企業、銀行を標的にしていると述べています。
米国財務省は、BlueNoroff APTハッカーを、研究者や政府によって追跡されている最も悪名高い北朝鮮を拠点とする政府ハッカーであるLazarusのサブグループと見なしています。
Jamf Threat Labsのリサーチャーが「Rustbucket」と名付けた以前のキャンペーンと連携させた最新のキャンペーンには、Macデバイスを悪用できるマルウェアが含まれています。
研究者たちはRecorded Future Newsに、ObjCShellzと呼ばれるマルウェアの単純さが最も際立っていると語った。
「ほとんどのマルウェアは非常に複雑ですが、このマルウェアは最小限の機能で少し怠惰なようです」と広報担当者は述べています。
「このマルウェアは、コードの観点から私たちが認識している他のマルウェアと直接似ていません。そうは言っても、単純化されているので、外れることはあまりありません。コード内に保持されているドメインと、そのドメインからコマンドを受信して実行できるという事実は、主要な危険信号です。
研究者は、悪意のあるソフトウェアのリポジトリであるVirusTotalに送信されていないマルウェアを発見した後、それに興味を持ちました。日本と米国からの提出は、マルウェアの調査を開始した後の9月と10月に行われました。
彼らは、暗号会社にリンクされていると思われるドメインと通信しているという事実など、彼らの興味をそそる他の手がかりを見つけました。Jamf Threat Labsによると、BlueNoroffは通常、「ネットワーク活動に紛れ込むために、正規の暗号企業に属しているように見えるドメインを作成する」とのことです。
この場合、グループはドメインswissborg[.]5月31日に登録された仮想通貨取引所 swissborg.com/blog の模造品であるブログです。
「ここで見られた活動は、Jamf Threat LabsがRustbucketキャンペーンとして追跡しているBlueNoroffの活動と非常に一致しています。このキャンペーンでは、攻撃者が投資家やヘッドハンターを装って、提携に関心があると主張したり、有益なものを提供したりしているターゲットに接触します」と彼らは述べています。
ハッカーが最初のアクセスをどのように取得したかはまだ不明ですが、マルウェアはソーシャルエンジニアリング攻撃によって配信されたと思われます。その後、攻撃の後の段階で使用され、macOSデバイスなどに関する情報を配信します。
Menlo Securityのサイバーセキュリティ専門家であるNgoc Bui氏は、このグループは以前に求人担当者を装ったフィッシングメールを使用して、データを盗み、感染したシステムをリモート制御できるバックドアマルウェアにターゲットを感染させていたと指摘しています。
「Jamf Threat Labsによる新しいマルウェア株の発見は、BlueNoroffが新しく洗練されたマルウェアの開発を続けていることを示すものであり、重要です。アップロード時にマルウェアがVirusTotalによって検出されなかったという事実は、BlueNoroffが検出を回避するための措置を講じていることを示唆しています」とBui氏は述べ、正規のソフトウェアとしてマスクされているため、この株は危険であると付け加えました。
「北朝鮮にとって、北朝鮮のさまざまなAPTや活動をフォローしてきた人にとっては、これは大きな問題です。」
2019年、米国財務省は同グループを制裁対象とし、BlueNoroffは「世界的な制裁強化に対応して違法に収益を上げるために北朝鮮政府によって設立された」と述べた。
「ブルーノロフは、北朝鮮政権に代わって、外国の金融機関に対してサイバーを利用した強盗という形で悪質なサイバー活動を行い、核兵器や弾道ミサイル計画の拡大による収益を上げている」と彼らは述べている。
「サイバーセキュリティ企業がこのグループに初めて気づいたのは2014年で、北朝鮮のサイバー活動は、軍事情報の入手、ネットワークの不安定化、敵対者の威嚇に加えて、金銭的利益に重点が置かれ始めました。」
財務省によると、2018年までに、このグループは標的から11億ドル以上を盗もうとし、バングラデシュ、インド、メキシコ、パキスタン、フィリピン、韓国、台湾、トルコ、チリ、ベトナムの銀行を攻撃しました。
最も注目すべき攻撃の1つには、バングラデシュ中央銀行のニューヨーク連邦準備制度理事会の口座から8,000万ドルが盗まれたことが含まれます。
ロシアのセキュリティ企業Kasperskyは、ロシア、ポーランド、スロベニア、ウクライナ、チェコ共和国、中国、インド、米国、香港、シンガポール、アラブ首長国連邦、ベトナムの暗号通貨企業に対する多数のハッキングにBlueNoroffを関連付けたと発表しました。
このグループは、2021年にbZx DeFiプラットフォームから5,500万ドルを盗んだとして告発されています。北朝鮮の国家が支援するハッキンググループは、世界中の被害者から数十億ドル相当を盗んだとして非難されており、北朝鮮政権は核ミサイル計画の資金源として使用しているとされています。