北朝鮮のハッカーが3CXサプライチェーンの大規模ハッキングで仮想通貨企業を標的に

Sead Fadilpašić
| 3 min read

メス

出典:AdobeStock / Victor Moussa

ロシアのサイバーセキュリティ企業であるKasperskyは、仮想通貨会社に対する新しいタイプの攻撃について警告しています。この攻撃は、ハッカーが破損したソフトウェアを使用して「極めて高い精度」で実行されると言います。

Kasperskyの調査では、先週、3CXソフトウェアサプライチェーン攻撃の被害者として、仮想通貨に特化した複数の企業が確認され、標的となった企業の名前は挙げていませんが、「西アジア」に拠点を置いていることが明らかにされています

この攻撃は、北朝鮮政府のために行われたと考えられており、広く使われているVoIPアプリケーションである3CXを破損させ、ハッカーのコードを被害者のマシンに流し込むというものでした。

ハッカーは失敗した


KasperskyのセキュリティアナリストチームGReATの研究者であるGeorgy Kucherin氏は、この攻撃タイプは「非常に一般的になっている」と述べ、次のように説明しました。

「サプライチェーン攻撃では、脅威者は被害者に対して偵察を行い、情報を収集した後、この情報をフィルタリングして、第2段階のマルウェアを展開する被害者を選択します。」

このフィルタリングは、多くの被害者にセカンドステージのマルウェアを展開することで、攻撃者が検出されにくくなることを意図しています。

3CXのサプライチェーン攻撃は、少なくとも他の攻撃と比較すると、迅速に検出されたとKucherin氏は述べています。CrowdStrikeやSentinelOneなどのセキュリティ企業は、初期マルウェアのインストールを、それが展開されてから1カ月も経たない先週にすでに検出しています。

「彼らは秘かに試みたが、失敗した 。」とKucherin氏は言います。「彼らの第一段階のインプラントが発見された。」

CrowdStrikeSentinelOneは、Wiredによると、全世界で60万の組織が使用する3CXインストーラソフトウェアを侵害した攻撃者が北朝鮮のハッカーであることを確認しました。

Kaspersky氏はさらに、ハッカーが感染させた被害者をふるいにかけて、仮想通貨会社につながっている「10台未満のマシン」を特定し、意図的に標的にしていることを発見しました。これは少なくとも、これまでに集められたデータです。

国家が支援するハッカーがソフトウェアのサプライチェーンを悪用して何千もの組織を感染させながらも、少数の被害者にのみ焦点を当てることが一般的になりつつあるようです。

Kusherin氏は、次の言葉を引用しました。

「これはすべて、小さいグループの企業を危険にさらすためだけのもので、もしかしたら仮想通貨に限らないかもしれませんが、私たちが理解しているのは、攻撃者の関心の1つが仮想通貨企業であるということです。(中略)仮想通貨会社は、ターゲットになりそうなので、この攻撃に特に注意すべきであり、さらなる攻撃に備えるためにシステムをスキャンする必要があります。」

しかし、攻撃者が捕まったため、このキャンペーンが成功したかどうかはまだ不明です。Kucherin氏によると、このマルウェアの標的となった企業から実際に仮想通貨が盗まれたという証拠は、今のところKasperskyでは確認されていないそうです。

仮想通貨業界以外も含め、今後さらに多くの企業が標的になる可能性があります。SentinelOneのセキュリティ研究者であるTom Hegel氏は、次のように付け加えています。

「現時点での仮説では、攻撃者は当初、価値の高い組織に侵入するために仮想通貨会社をターゲットにしていたようです。(中略)彼らがこの成功と、彼らがいるネットワークの種類を見た後、おそらく目的が変わったのだろうと推測しています。」

また、状況は「非常に迅速に展開している」とし、被害者や潜在的なターゲットについて、まだ調査すべきことがあると付け加えました。「しかし、攻撃者の立場からすると、もし彼らが仮想通貨会社をターゲットにしただけなら、これは劇的な機会損失だった 」とHegelは述べています。

仮想通貨ユーザーの3分の1が詐欺の被害に遭う


一方、Kaspersky氏は昨年10月に2,000人のアメリカ人を対象に調査を行い、仮想通貨を所有している人の3分の1が盗まれた経験もあることを明らかにしました。盗まれた金額の平均は97,583ドルでした。

3分の1は、仮想通貨関連の詐欺的なウェブサイトや投資詐欺の被害に遭ったことがあると回答しています。被害者のうち、19%はIDを盗まれ、27%は個人情報を盗まれ、銀行口座からお金を引き出されたようです。

Kaspersky GReATのシニアセキュリティリサーチャーであるMarco Rivero氏は、「この調査データから、多くの人が仮想通貨を盗まれ、ID盗難にも遭っていることがわかります」と述べています。

フィッシング詐欺や偽サイトに注意し、多要素認証などのセキュリティ対策を講じ、すべてのアカウントで強固でユニークなパスワードを使用する必要があると、Rivero氏はアドバイスしています。

一方、ハッカーが北朝鮮政権のために仮想通貨を盗むことは、新しい現象ではありません。