北朝鮮ハッカーと関連のある偽Zoomマルウェア詐欺急増

偽Zoomマルウェア詐欺急増

北朝鮮のサイバー犯罪者は、偽Zoom（ズーム）やTeams（チームズ）会議を悪用し、機密データや仮想通貨ウォレットを盗み出すマルウェアを拡散することで、ソーシャルエンジニアリング攻撃を強化している事が新たに分かった。

サイバーセキュリティ企業SEAL （Security Alliance）は、Security Allianceは、北朝鮮のハッカー集団が偽Zoomミーティングなどを利用してマルウェアを拡散するケースが増えており、これらのキャンペーンに関連する複数の試みを毎日追跡していると警告した。

SEALの調べによると、この詐欺は、テレグラム（Telegram）のなりすましや録画済みのビデオ通話を利用して信頼関係を構築しており、マルウェアは会議中に偽の音声やSDKパッチとして配信されるという。

この手法は、馴染み、信頼、そして職場の習慣に着目。信頼を悪用しており、ビデオ会議ツールを日常的に利用する仮想通貨やテクノロジー業界の専門家に対して特に効果的であり、すでに仮想通貨ユーザーから3億ドル（約464億円）以上の資金を流出させているとのことだ。

偽Zoom詐欺の手口

攻撃は通常テレグラムで始まり、被害者は、既に知り合いのアカウントを装ったメッセージを受け取り、攻撃者はチャット履歴を持つ連絡先をターゲットにすることで、信憑性を高め、疑念を抱かせないようにしてくる。

会議が始まると、被害者は連絡先や他のチームメンバーのライブビデオフィードのように見える映像は、まるで本物のZoom通話のように見えるという。しかし、実際の映像は録画されたものであり、AI（人工知能）によって生成されたディープフェイクではなく、過去のハッキングやインタビュー、ポッドキャストなど、公開されている情報源から盗み取られた録画を再利用したもので、説得力のある仕掛けになっているとのことです。

通話中、攻撃者は音声に問題があり、問題修復のプロセスは簡単だと述べ、修正プログラムやアップデートのインストールを提案してくる。しかし、そのファイルにはマルウェアのペイロードが含まれており、インストールされると、攻撃者は被害者のデバイスにリモートアクセスできるようになってしまう。

仮想通貨に特化した環境下では、侵入の兆候がほとんど見られないまま、ウォレットの中身が完全に流出する可能性がある。SEALもこの懸念に同調し、仮想通貨業界全体でこのような攻撃が頻繁に、そして一貫して行われていることを指摘している。

進化する北朝鮮のサイバー戦略

北朝鮮のハッカー集団は、長年にわたり金銭目的のサイバー犯罪と関連付けられており、その収益は北朝鮮政権の支援に流れていると見られる。

中でも、悪名高く、その名が世界的にも広く知られているラザルス（Lazarus）といったグループは、これまでも直接的なエクスプロイトやサプライチェーン攻撃を通じて、取引所やブロックチェーン企業を標的にしてきたが、最近はソーシャルエンジニアリングの多用が目立っている。