北朝鮮のハッカーがブロックチェーンツールを使用してグローバルなサイバー攻撃を拡大

TLDR

• 北朝鮮のハッカーは分散型コマンドシステムを開発するためにブロックチェーン技術を活用しています。
• 偽の求人オファーは北朝鮮のサイバー攻撃でよく使われる戦術です。
• BeaverTailやOtterCookieなどのマルウェアは認証情報の窃取に使用されています。
• EtherHidingマルウェアはステルス性を高めるためにパブリックブロックチェーン上にペイロードを隠します。

Cisco TalosとGoogleの脅威インテリジェンスグループ（GTIG）の最近の報告によると、北朝鮮関連のハッカーは新しい分散型で検出回避能力の高いマルウェアツールを使用して、グローバルなサイバー攻撃を増加させています。これらのキャンペーンは偽の求人スキームを通じて個人や企業を標的にし、暗号通貨の窃取、ネットワークへのアクセス、検出の回避を目的としています。研究者たちは、ブロックチェーンベースのコマンドシステムの使用により、これらの作戦の妨害がより困難になっていると警告しています。

高度なマルウェアを使用したサイバー作戦の拡大

Cisco Talosは、Famous Chollimaとして知られる北朝鮮の脅威グループを特定しました。このグループは戦術とツールを進化させ続けています。このグループはBeaverTailとOtterCookieという2つの関連マルウェアファミリーを使用していることが観察されており、どちらも認証情報の窃取と機密データの収集のために開発されています。これらの更新されたバリアントは現在、攻撃中の通信と効率性を向上させる機能を共有しています。

Cisco Talosが調査した一例では、求職者が偽の技術テストの一環として悪意のあるプログラムをインストールするよう騙された際に、スリランカの組織が間接的に影響を受けました。このマルウェアにはキーストロークの記録とスクリーンショットの撮影のためのモジュールが含まれていました。収集された情報は攻撃者が管理するリモートサーバーに送信されました。研究者たちは、この方法により、組織が直接の標的でなくても個人が侵害される可能性があることを示していると述べています。

分散型コマンドシステムとしてのブロックチェーン

Googleの脅威インテリジェンスグループは、UNC5342として知られる北朝鮮関連の攻撃者がEtherHidingと呼ばれる新しいマルウェアを展開したと報告しています。このマルウェアは悪意のあるJavaScriptペイロードをパブリックブロックチェーン上に隠します。このアプローチを使用することで、攻撃者は当局が削除するのが困難な分散型コマンド＆コントロール（C2）システムを構築します。

GTIGによると、EtherHidingは攻撃者が従来のサーバーに依存せずにリモートでマルウェアの動作を変更することを可能にします。ブロックチェーンデータは簡単に削除できないため、この技術は妨害される可能性を減少させます。Googleの研究者たちはこの作戦を、偽の求人オファーが被害者への感染に使用されたContagious Interviewという名前のより広範なキャンペーンに関連付けました。この発見により、北朝鮮のグループが複数の作戦にわたる持続性を維持するために分散型技術を統合していることが明らかになりました。

主要な侵入ポイントとしての偽の採用キャンペーン

CiscoとGoogleの両方が、これらのサイバー作戦は暗号通貨およびサイバーセキュリティ業界の専門家を対象とした不正な求人掲載から始まることが多いと観察しています。被害者は偽の面接オファーで連絡を受け、マルウェアが埋め込まれたファイルを含む偽の評価を完了するよう求められます。

感染にはJadeSnow、BeaverTail、InvisibleFerretなどのマルウェアファミリーの組み合わせが関与しており、これらが一緒になって攻撃者が認証情報を盗み、ランサムウェアを展開し、システムへのより深いアクセスを獲得することを可能にします。研究者たちは、これらのキャンペーンが金銭的利益と企業環境への長期的なアクセスの両方を求めており、スパイ活動や将来の悪用のためであると考えています。

防御対策と継続的な脅威

Cisco TalosとGoogleは、組織が関連する悪意のある活動を検出するのを支援するために、侵害の指標（IOC）をリリースしました。これらの指標には、セキュリティチームがこれらのキャンペーンに関連する不審な行動を監視およびブロックするために使用できる技術的なマーカーが含まれています。

アナリストたちは、ソーシャルエンジニアリングとブロックチェーンベースのツールの組み合わせがサイバーセキュリティ防御に新たな課題をもたらしていると述べています。パブリックブロックチェーンは簡単に制御または停止できないため、アクセスを維持し作戦を隠蔽しようとする脅威アクターにとって好ましいインフラストラクチャになりつつあります。

両社の研究者たちはこれらのキャンペーンを追跡し続け、グローバルなサイバーセキュリティコミュニティと調査結果を共有しています。彼らは組織に対して、求人オファーを慎重に確認し、採用プロセス中のファイルダウンロードを制限し、BeaverTail、OtterCookie、EtherHidingなどの進化するマルウェアファミリーを検出するために監視システムを更新することを推奨しています。

The post North Korean Hackers Expand Global Cyberattacks Using Blockchain Tools appeared first on CoinCentral.