ラザルスはこれまで、企業のリクルーターや求職者になりすまして、暗号資産企業の従業員とのビデオ会議を設定し、その場で悪意のあるコードを送り込む手法を使ってきた。彼らは、この手法で2017年以降に30億ドル以上を盗んだとされる。しかし、ラザルスはここ最近、VCになりすますという新たな戦略に打って出た模様だ。
FBIは先月、ワシントンD.C.の連邦地裁に提出した押収申請書の中で、ラザルスが暗号資産スタートアップから3400万ドル(約52億2000万円)相当のトークンを盗んだと主張した。この窃盗でハッカーたちは暗号資産分野で有名な香港拠点のVCになりすまして、スタートアップのCEOに接触したとされる(FBIは、このVCの名前を明らかにしていない)。
FBIの報告書によれば、VCになりすましたラザルスのハッカーは、CryptoMimicと呼ばれるマルウェアを仕込んだリンクをCEOに送信し、スクリプトを実行させたという。
被害を受けたスタートアップの名前は明かされていが、今年3月の窃盗で盗まれた暗号資産の一部には、バイナンスが支援するNFPromptと呼ばれるスタートアップが発行したNFPというトークンが含まれていたとされる。人工知能(AI)で生成したNFTを提供する同社は、3月のX(旧ツイッター)の投稿で「ハッカーグループがいくつかのウォレットを侵害した」と述べていた。
NFPromptは、フォーブスのコメント要請に応じなかった。また、FBIもコメントを拒否した。
FBIによると、攻撃に使用されたCryptoMimicと呼ばれるマルウェアは、北朝鮮のサーバーに紐づくもので、盗まれたトークンの一部は、暗号資産取引所のバイナンスとMEXCの口座に送金されていたという。これらの口座は、すでに凍結されており、FBIは現在、320万ドル(約5億円)相当の暗号資産を管理下に置いている。
頻発する暗号資産を狙う攻撃
FBIは9月に、北朝鮮がソーシャルエンジニアリング戦術を用いて暗号資産企業を標的にしていると警告していた。英紙ガーディアンは、国連の制裁監視員が今年初めに「北朝鮮が2017年から2023年にかけて暗号資産企業を標的としたサイバー攻撃で30億ドル以上を強奪した」と述べたと報じていた。また、フォーブスは今月初めに、ラザルスのハッカーがリンクトインを通じて中東のバーレーンに拠点を置く取引所Rain.comのスタッフに接触し、1600万ドル(約24億6000万円)を盗んだと報じていた。北朝鮮のハッカーが、身元を偽って暗号資産関連の企業に勤務している場合もあるとされている。
一方、マイクロソフトやセキュリティ企業Recorded Futureの研究者らも昨年、北朝鮮のハッカーがVCや投資銀行の担当者になりすます手口をとるようになったと警告していた。FBIがNFPromptから盗まれたトークンを回収するために提出した申請書は、この戦術を用いたハッキング被害についての最初の報告だと言える。
(forbes.com 原文)