APT攻撃グループLazarusの新たな手口が明らかに！暗号資産を狙う最新の脅威とは

APT攻撃グループLazarusの脅威

最近、Kasperskyのグローバル調査分析チーム（GReAT）は、APT攻撃グループLazarusが暗号資産を狙った新たな攻撃手法を発見しました。この攻撃は、高度な技術を駆使したもので、特にGoogle Chromeのゼロデイ脆弱性を悪用しています。攻撃者は、偽の暗号資産ゲームサイトを作成し、ユーザーを誘惑して悪意のあるバックドアをインストールし、ウォレットの認証情報を窃取しているのです。

攻撃の概要

Lazarusは、この数年で数多くのハッキング活動を行ってきましたが、今回は特に注目に値します。2024年5月、GReATのリサーチャーはKaspersky Security Network内のインシデントを分析している際に、攻撃者が使用するマルウェア“Manuscrypt”に感染したPCを発見しました。これは、Lazarusが2013年から使用している特許のあるバックドアで、これまでのところ、50以上の異なる業種を対象にした攻撃が確認されてきました。

攻撃の手法には、ウイルス感染だけでなく、生成AIやソーシャルエンジニアリングが活用されていることが特筆されます。特に、Lazarusは暗号資産プラットフォームに対して高度な攻撃を行うことが多く、今回の脅威もその一つです。

ゼロデイ脆弱性の悪用

Lazarusが悪用した一つの脆弱性は、Googleの「V8」で発見された「型の取り違え（Type Confusion）」のバグです。このゼロデイ脆弱性は、攻撃者が任意のコードを実行できるため、非常に危険です。もう一つの脆弱性は、Chromeの「V8サンドボックス」を回避するために利用されたインタープリターのものです。

攻撃者は、「DeFiTankLand（DFTL）」という正規のオンラインゲームを偽って模倣したサイトを利用し、ユーザーを引き寄せていました。この偽のサイトには、訪問したユーザーのPCを完全に制御するための隠しスクリプトが含まれており、簡単に感染が広がる可能性がありました。

攻撃の巧妙さとリスク

Lazarusは、攻撃活動の効果を最大化するために、プロモーション活動にも力を入れています。X（旧Twitter）やLinkedInなどのソーシャルメディアでAI生成の画像を使用してゲームを広めており、影響力のあるインフルエンサーにも接触を試みています。ここでの狙いは、フォロワーに偽のゲームを宣伝することで、さらなる広がりを見せることです。

正規のゲーム「DeFiTankLand」の開発者は、コールドウォレットがハッキングされ、2万ドル相当の暗号資産が失われたと発表しており、これもLazarusによるものである可能性が高いです。

Kasperskyのボリス・ラリン氏は、「Lazarusの戦術はこれまでにないもので、金銭的利益を追求するための新たな手法が垣間見える」と警告しています。サイバー攻撃は進化が早く、特にこうした高度な攻撃を受けた時には、自身のPCや企業ネットワーク全体が危険にさらされる可能性があります。