北朝鮮のハッカー集団Lazarusは最近活動を強化しているようで、6月3日以降、仮想通貨事業体に対する4件の攻撃が確認されている。現在、5回目の攻撃を行っている疑いがあり、今回は9月12日にCoinExに対して行われた。これに対し、CoinExは不審なウォレットアドレスはまだ確認中であるため、盗まれた資金の総額は不明だが、現時点では約5,400万ドルであると考えられているとツイートした。
過去104日間に、LazarusはAtomicWallet(1億ドル)、CoinsPaid(3,730万ドル)、Alphapo(6,000万ドル)、Stake.com(4,100万ドル)から約2億4,000万ドルの暗号資産を盗んだことが確認されている。
最新のLazarus攻撃
上に示したように、セキュリティ機関 Elliptic による分析により、CoinEx から盗まれた資金の一部は、別のブロックチェーン上ではあるものの、Lazarus グループが Stake.com から盗まれた資金を洗浄するために使用していたアドレスに送信されたことが確認されました。その後、資金は Lazarus が以前に使用していたブリッジを使用してイーサリアムにブリッジされ、CoinEx ハッカーによって管理されていることが知られているアドレスに送り返されました。イリプ氏は、ラザルスがさまざまなハッカーからの資金を混ぜ合わせているのを観察しており、最近では、Stake.comから盗まれた資金がAtomicWalletから盗まれた資金と重なっていた。さまざまなハッカーからの資金が結合されている例は、以下の画像のオレンジ色で示されています。
このブロックチェーン活動と、CoinEx ハッキングが他の脅威グループによって実行されたことを示唆する情報が不足していることを考慮すると、Illip 氏は、Lazarus Group が CoinEx 資金を盗んだ疑いがあることに同意します。
104日間で5回のラザロ攻撃
2022 年には、Harmony の Horizon ブリッジや AxieInfinity の Ronin ブリッジなど、いくつかの注目を集めたハッキングが Lazarus に起因するとされており、どちらも昨年前半に発生しました。それから今年の6月までの間、ラザロの仕業と公にされた主要な暗号強盗者はいなかった。したがって、過去 104 日間に発生したさまざまなハッキング事件は、北朝鮮の脅威グループの活動が増加していることを示しています。
2023 年 6 月 3 日、非保管型分散型暗号通貨ウォレット AtomicWallet のユーザーは 1 億ドル以上を失いました。 2023 年 6 月 6 日、イリップは、北朝鮮の脅威グループの関与を示す複数の要因を特定した後、ハッキングは Lazarus によるものであると断定しました。この帰属は後にFBIによって確認されました。
2023 年 7 月 22 日、Lazarus はソーシャル エンジニアリング攻撃の成功により、仮想通貨決済プラットフォーム CoinsPaid に属するホット ウォレットへのアクセスを取得しました。このアクセスにより、攻撃者はプラットフォームのホット ウォレットから約 3,730 万ドルの暗号資産を引き出すための承認リクエストを作成することができました。 7月26日、CoinsPaidはLazarusが攻撃の責任者であるとする報告書を発表した。 FBIは後にその出所を確認した。
同じ日の 7 月 22 日、Lazarus は別の注目を集める攻撃を開始しました。今回は集中暗号通貨決済プロバイダーである Alphapo を標的とし、6,000 万ドルの暗号資産を盗み出しました。攻撃者は、以前に漏洩した秘密キーを介してアクセスを取得した可能性があります。上で述べたように、後に FBI はこの攻撃はラザロによるものであると断定しました。
2023 年 9 月 4 日、オンライン仮想通貨カジノ Stake.com が攻撃され、おそらく秘密鍵が盗まれたことが原因で約 4,100 万ドルの仮想通貨が盗まれました。 FBIは9月6日にプレスリリースを発行し、攻撃の背後にLazarusグループがいることを確認した。
最後に、2023 年 9 月 12 日、集中型仮想通貨取引所 CoinEx がハッキングされ、5,400 万ドルが盗まれました。上で詳述したように、多くの要因がこの攻撃の原因がラザロであることを示しています。
戦略を変更しますか?
Analysis of Lazarus’ latest activity shows that since last year they have shifted their focus from decentralized services to centralized services.前述した最近の 5 件のハッキングのうち、4 件は集中型仮想資産サービス プロバイダーを標的としていました。分散型金融(DeFi)エコシステムが急速に台頭する前、2020年以前は集中型取引所がLazarusの優先ターゲットでした。
Lazarus が再び集中型サービスに注目している理由はいくつか考えられます。
セキュリティにもっと注意を払う:2022年のDeFiハッキング事件に関するイリップの以前の調査では、エクスプロイトが4日ごとに発生し、毎回平均3,260万ドルが盗まれていたことが判明した。クロスチェーンブリッジは、2022 年初めには比較的新しいサービス形式でしたが、現在では最もハッキングされている種類の DeFi プロトコルの一部となっています。これらの傾向は、スマート コントラクトの監査と開発標準の向上につながり、ハッカーが脆弱性を特定して悪用する範囲を狭める可能性があります。
ソーシャル エンジニアリングに対して脆弱: 多くのハッキング攻撃において、Lazarus グループが選択した攻撃方法はソーシャル エンジニアリングでした。たとえば、5 億 4,000 万ドルの RoninBridge ハッキングは、LinkedIn 上の偽の求人情報によって引き起こされました。それにもかかわらず、分散型サービスは通常、従業員数が少なく、その名前が示すように、さまざまな程度に分散化されています。したがって、開発者への悪意のあるアクセスを取得することは、スマート コントラクトへの管理アクセスを取得することと必ずしも同じではありません。
同時に、集中型取引所は従業員数が増える可能性が高く、ターゲットとなる可能性のある範囲が広がります。また、中央集中型の内部情報技術システムを使用して動作する可能性もあり、Lazarus マルウェアがビジネスの意図された機能に侵入する機会が大きくなります。