北朝鮮のハッカーが偽のZoom会議を武器に仮想通貨企業を狙う

北朝鮮の国家ハッカーは、偽のズーム会議を含む複数の詐欺と並行して展開されたいくつかの独自のマルウェアを使用して、暗号通貨関連企業を標的にしている。. 

UNC1069として知られる北朝鮮関連の脅威アクターが、最終的な目標として金銭窃盗を目的に、WindowsやmacOSシステムから機密データを盗むために暗号通貨業界を標的にしていることが確認されている。.

UNC1069は2018年4月から活動していると評価されています。偽の会議招待を使用したり、評判の良い企業の投資家を装ったりして、金銭目的のソーシャルエンジニアリングキャンペーンを実行した経歴があります。. 

偽のZoom通話で暗号通貨関連企業にマルウェア攻撃

Google Mandiantの研究者は最新の報告書で、暗号資産業界のフィンテック企業を標的とした侵入事件の調査結果を詳述した。調査員によると、この侵入は暗号資産業界の幹部のTelegramアカウントが侵害されたことから始まったという。. 

攻撃者は乗っ取ったプロフィールを使って被害者と連絡を取り、徐々に信頼関係を築いた後、Calendlyからビデオ会議の招待状を送信しました。会議リンクは、脅威アクターの管理下にあるインフラ上にホストされている偽のZoomドメインに標的を誘導しました。.

通話中に、被害者は別の暗号通貨企業のCEOのディープフェイク動画と思われるものを見たと報告した。.

「マンディアントはdentに検証するための法医学的証拠を回収することができなかったが、報告された策略は、ディープフェイクが使用されたとされる、以前に公表されたdent」と報告書は述べている。

攻撃者は、次のステップを正当化するために、会議中に音声に問題があるという印象を与えました。そして、被害者にデバイス上でトラブルシューティングコマンドを実行するよう指示しました。これらのコマンドはmacOSとWindowsの両方のシステムに合わせてカスタマイズされており、密かに感染チェーンを開始しました。その結果、複数のマルウェアコンポーネントが起動しました。.

Mandiantは、攻撃中に使用された7種類のマルウェアをdentしました。これらのツールは、キーチェーンにアクセスしてパスワードを盗み、ブラウザのCookieとログイン情報を取得し、Telegramのセッション情報にアクセスし、その他の個人ファイルを取得するように設計されていました。.

捜査官は、その目的は2つあると評価しました。1つは暗号資産の盗難を可能にすること、もう1つは将来のソーシャルエンジニアリング攻撃に活用できるデータを収集することです。調査の結果、異常に大量のツールが単一のホストにドロップされていたことが明らかになりました。. 

AIを活用した詐欺集団は高い運用効率を示す

このdent 、より広範なパターンの一部です。北朝鮮と関係のある攻撃者は、ZoomやMicrosoft Teamsを使った不正な会議で、信頼できる業界関係者を装い、3億ドル以上を横領しました。.

年間を通じた活動の規模はさらに顕著でした。Cryptopolitanの報道Cryptopolitanデジタル資産の盗難額は20億2000万ドルに達し、前年比51%増加しました。

Chainalysisはまた、 を明らかにした。同社によると、この傾向は、AIがほとんどの詐欺行為において標準的な構成要素となる未来を示唆しているという。

Google Threat Intelligence Group（GTIG）は昨年11月に発表したレポートで、脅威アクターがGeminiなどの生成型人工知能（AI）ツールを使用していることを指摘しました。彼らはこれらのツールを、ソーシャルエンジニアリングキャンペーンの一環として、ルアーマテリアルやその他の暗号関連のメッセージの作成に利用しています。.

少なくとも2023年以降、このグループはスピアフィッシングの手法と従来の金融（TradFi）を標的とすることから、中央集権型取引所（CEX）、金融機関のソフトウェア開発者、ハイテク企業、ベンチャーキャピタルファンドの個人などのWeb3業界へと標的をシフトしています。.

グーグル。.

このグループは、Geminiを悪用して暗号資産を盗むコードを開発しようとしていることも確認されています。また、暗号資産業界の人物を装ったディープフェイク画像や動画を悪用し、Zoomのソフトウェア開発キット（SDK）を装って「BIGMACHO」と呼ばれるバックドアを被害者に配布するキャンペーンを展開しています。.

あなたのプロジェクトを暗号通貨業界のトップに紹介したいですか？データと影響力が融合する、次の業界レポートで特集しましょう。