ラザルスグループが暗号ブラウザ拡張機能への攻撃を強化：Group-IB

ラザルスグループは、偽のビデオアプリを通じて高度なマルウェアを展開し、ブラウザ拡張機能への標的を拡大し、暗号通貨市場に対するサイバー攻撃を強化しています。

仮想通貨業界に対する高度なサイバー攻撃で知られる悪名高い北朝鮮のハッカー集団ラザルス・グループは、仮想通貨の専門家や開発者を標的とする活動を強化している。サイバーセキュリティ企業グループIBの最近の調査レポートによると、同グループは新たなマルウェアの亜種を導入し、ビデオ会議アプリケーションにも標的を広げている。

2024年、ラザルスは「伝染面接」キャンペーンで攻撃を拡大し、求職者を騙して仕事関連のタスクを装ったマルウェアをダウンロードさせました。この手口は現在、「FCCCall」と呼ばれる偽のビデオ会議アプリを特徴としており、本物のソフトウェアを模倣してBeaverTailマルウェアをインストールし、その後Pythonベースのバックドア「InvisibleFerret」を展開します。

「BeaverTail のコア機能は変更されていません。ブラウザから認証情報を盗み出し、暗号通貨ウォレットのブラウザ拡張機能からデータを盗み出します。」

グループIB

こちらもおすすめ: ラザルスグループのハッカーがサイバー攻撃の新たな手法を開始

Group-IB の研究者らは、Lazarus の進化するツールキットの一部として、「CivetQ」と呼ばれる新しい Python スクリプト スイートも特定しました。同グループの現在の戦術には、データ窃取に Telegram を使用すること、ゲーム関連のリポジトリに手を広げること、マルウェアを拡散するために Node.js ベースのプロジェクトをトロイの木馬化することなどが含まれています。

「最初の接触後、ハッカーたちは会話をTelegramに移そうとすることが多く、そこで彼ら[ハッカー]は潜在的な面接対象者にビデオ会議アプリケーションやNode.jsプロジェクトをダウンロードして、面接プロセスの一環として技術的なタスクを実行するよう求めます。」

グループIB

Group-IBのアナリストは、ラザルスの最新の攻撃は、彼らが暗号通貨ウォレットのブラウザ拡張機能にますます重点を置いていることを浮き彫りにしていると強調し、悪意のある人物が現在、MetaMask、Coinbase、BNB Chain Wallet、TON Wallet、Exodus Web3など、ますます多くのアプリケーションを標的にしていると付け加えた。

同グループは悪意のあるコードを隠蔽するためのより洗練された方法も開発しており、検出がさらに困難になっている。

このエスカレーションは、FBIが最近警告した、北朝鮮のサイバー攻撃者が高度に専門化されたソーシャルエンジニアリングキャンペーンで分散型金融および暗号通貨部門の従業員を標的にしていると強調した、より広範な傾向を反映している。FBIによると、これらの洗練された戦術は、最も安全なシステムにさえ侵入するように作成されており、多額の暗号資産を持つ組織にとって継続的な脅威となっている。

続きを読む: ラザルス・グループ、DMMビットコインハッキングで盗んだ3億800万ドルの資金を移動か