北朝鮮、暗号脅威をエスカレート：Google Cloud、新たなマルウェアキャンペーンを警告

マンダイアントは、Google Cloudのセキュリティ部門の下で、北朝鮮に関連する高度なサイバー攻撃を警告しました。この攻撃は、暗号通貨やフィンテック分野を標的とし、これまでにない複雑さを持っています。脅威グループはUNC1069として追跡されており、2018年に最初に特定された活動の大幅な拡大を示しています。現在では、複数の高度なマルウェアとAIを活用したソーシャルエンジニアリング戦術を組み合わせ、デジタル資産を侵害し、重要なターゲットから機密情報を盗み出すことを目的としています。

暗号通貨・フィンテック分野を標的とする7つのマルウェアファミリー

新たに発見されたキャンペーンでは、暗号プラットフォームや金融技術企業に侵入し情報を抽出するための7つの異なるマルウェアファミリーが導入されています。その中でも特に注目されるのは、SILENCELIFT、DEEPBREATH、CHROMEPUSHの3つの新しいバリアントです。マンダイアントの公式調査報告によると、これらのツールは、ホストや被害者の詳細な情報を取得し、攻撃者が持続的なアクセスを維持し、認証情報や鍵、独自データを外部に送信できるように設計されています。

DEEPBREATHとCHROMEPUSHは、特に危険な進化を示しています。これらは、重要なOSの保護機能を回避し、不正なデータアクセスを防ぐセキュリティメカニズムを突破するように設計されており、暗号業界のセキュリティアーキテクチャに関する深い知識を持つ資源豊富な敵対者による高度な技術的進歩を示しています。

AIを活用したソーシャルエンジニアリングとClickFix攻撃による攻撃手法の変革

この北朝鮮関連の攻撃は、AIと従来の欺瞞戦術を組み合わせた多層的なソーシャルエンジニアリング手法を採用しています。攻撃者は、侵害されたTelegramアカウントを利用してターゲットと最初の接触を行い、その後、AI生成のディープフェイク動画を用いたZoom会議を仕組み、被害者を操作して従わせる手口を展開しています。

最終的には、ClickFix攻撃に至ります。これは、被害者がシステム上で隠されたコマンドを実行させられるもので、あたかも通常のセキュリティチェックやシステムメンテナンスを行っているかのように見せかける手法です。この攻撃手法は、セキュリティ意識の高い組織に対して特に効果的であり、正規のトラブルシューティングに対するユーザーの自然な信頼を悪用しています。

マンダイアント、北朝鮮関連脅威グループUNC1069の急速な進化を確認

Google Cloudのマンダイアントチームによるこの警告は、技術的な詳細を超えた重要性を持ちます。2018年からの監視開始以来、UNC1069は継続的に進化し、リソースを拡大してきました。これは、国家支援の継続的な支援を示唆しています。マルウェアの開発速度の加速と、AIを活用したソーシャルエンジニアリング戦術の導入は、攻撃者が単なる標的狙いから、戦略的な暗号通貨や金融インフラの資産を狙った精密な攻撃へと移行していることを示しています。

このエスカレーションは、国家レベルの攻撃者が暗号セクターに対して従来の単純な標的から、より洗練された多段階の攻撃へと戦略を変えている転換点です。暗号通貨やフィンテックのコミュニティは、これまでにない規模の協調された脅威活動に直面しており、防御態勢の強化と業界全体での脅威情報共有が求められています。