北朝鮮に関連するハッカーは、ライブビデオ通話(AI生成のディープフェイクを含む)を引き続き使用し、暗号資産の開発者や関係者を騙して自分のデバイスに悪意のあるソフトウェアをインストールさせています。 BTCプラハの共同創設者マーティン・クチャルが明らかにした最新の事例では、攻撃者は乗っ取られたTelegramアカウントと仕掛けられたビデオ通話を利用し、Zoomのオーディオ修正として偽装されたマルウェアを配布したと述べています。 この「高度なハッキングキャンペーン」は、「ビットコインや暗号資産ユーザーをターゲットにしている」ようだとクチャルは木曜日にX上で明らかにしました。
攻撃者は被害者に連絡し、ZoomまたはTeamsの通話を設定します。通話中、AI生成のビデオを使って被害者が知っている人物のふりをします。 その後、音声の問題を主張し、被害者にプラグインやファイルをインストールさせて修正させようとします。インストールされると、マルウェアは攻撃者にシステム全体へのアクセス権を与え、ビットコインの盗難、Telegramアカウントの乗っ取り、そしてそれらのアカウントを使った他者へのターゲティングを可能にします。 この背景には、AI駆動のなりすまし詐欺により2025年の暗号資産関連の損失が過去最高の170億ドルに達したことがあり、攻撃者はディープフェイク動画や音声クローン、偽の身分証明を駆使して被害者を騙し、資金にアクセスしようとしています。これはブロックチェーン分析企業Chainalysisのデータによるものです。 類似の攻撃 クチャルが述べた攻撃は、サイバーセキュリティ企業Huntressが最初に記録した手法と非常に似ています。Huntressは昨年7月に、これらの攻撃者がTelegramでの最初の接触後に偽のZoomドメイン上の会議リンクを使ってターゲットの暗号資産関係者を仕掛けたZoom通話に誘導する手口を報告しています。
通話中、攻撃者は音声の問題を主張し、Zoom関連の修正と見せかけたものをインストールさせますが、実際には多段階のmacOS感染を引き起こす悪意のあるAppleScriptです。Huntressによると、このスクリプトはシェル履歴を無効にし、Apple SiliconデバイスにRosetta 2(翻訳レイヤー)をインストールまたは確認し、繰り返しシステムパスワードを入力させて権限を昇格させます。 この研究では、マルウェアチェーンが複数のペイロード(持続的なバックドア、キーロギングやクリップボードツール、暗号資産ウォレットの盗難ツール)をインストールすることが判明しています。クチャルは月曜日にTelegramアカウントが侵害され、その後同じ手口で他者をターゲットにしたと述べた際に、このシーケンスを指摘しました。 社会的パターン Huntressのセキュリティ研究者は、この侵入を北朝鮮に関連する高度な持続的脅威(APT)TA444、別名BlueNoroff、またはLazarus Groupと呼ばれる国家支援グループに高い確信を持って帰属させています。彼らは2017年以降、暗号資産の窃盗を目的とした活動を行っています。 これらのキャンペーンの運用目的や相関性について質問されたシャーン・ザン(Slowmistの最高情報セキュリティ責任者)は、_Decrypt_に対し、「最新のクチャルに対する攻撃は『おそらく』Lazarus Groupのより広範なキャンペーンと関連している」と述べました。 「キャンペーン間での再利用が明らかです。特定のウォレットをターゲットにし、非常に似たインストールスクリプトを使用しているのを常に確認しています」と、Gonkaの共同創設者デイビッド・リーバーマンは_Decrypt_に語っています。 画像や動画は「もはや信頼できる証拠とは見なされなくなっています」とリーバーマンは述べ、デジタルコンテンツは「作成者によって暗号署名されるべきであり、その署名には多要素認証が必要」と付け加えました。 このような攻撃は、「馴染みのある社会的パターンに依存しているため」、追跡と検出のための「重要なシグナル」となっていますと彼は述べました。
北朝鮮のLazarus Groupは、暗号資産企業や関係者、開発者に対するキャンペーンに関与し、巧妙なマルウェアや社会工学を駆使してデジタル資産やアクセス資格情報を盗み出しています。
