国際ハッカー集団が「偽の仮想通貨取引アプリ」を使いMacを乗っ取る攻撃を展開

by iAmMrRob

国際ハッカー集団のラザルスグループ(HIDDEN COBRA)は、北朝鮮との関連が疑われており、世界中の金融機関やなどをターゲットにした攻撃を行っています。そんなラザルスグループが、「偽の仮想通貨取引アプリ」を作成してmacOSを乗っ取る攻撃を仕掛けていたことが判明しました。

Pass the AppleJeus
https://objective-see.com/blog/blog_0x49.html

North Korea-linked hackers revive cryptocurrency scam to hijack macOS
https://thenextweb.com/hardfork/2019/10/14/north-korea-hacking-group-lazarus-old-cryptocurrency-scam-control-mac/

Mac関連のセキュリティ専門家であるPatrick Wardle氏は2019年10月、ラザルスグループによるMacを狙った攻撃手法について発表しました。今回判明した攻撃では、ラザルスグループがJMT Tradingという架空の企業を設立するなど、周到な準備を行っていたことがわかっています。

JMT Tradingは公式のウェブサイトも備えたフロント企業だったそうで、「オープンソースの仮想通貨取引アプリを開発した」として、ソフトウェア開発プラットフォームのGitHub上でアプリのソースコードを共有していたとのこと。実はこのソースコードにマルウェアが仕込まれていたと、Wardle氏は自身のブログで指摘しました。

仮想通貨取引アプリのソースコード内に仕込まれたマルウェアは、Macユーザーがコードをダウンロードすると、Macに搭載されているmacOSを乗っ取ることができるそうです。Wardle氏は、マルウェアが被害者のMac上で「リモートでコマンドを実行する能力」をハッカーに与えたと述べています。

Wardle氏は今回の攻撃が仮想通貨取引所の従業員をターゲットにしたものだったと指摘し、「あなたが仮想通貨取引所の従業員でない限り、感染の心配をする必要はないでしょう」とコメント。

近年では北朝鮮系ハッカーによる仮想通貨取引所への攻撃が活発化しており、平壌のハッカーたちは約6億7000万ドル(約720億円)相当の外貨や仮想通貨を、不正な手段で入手したともいわれています。セキュリティ企業のGroup-IBは、2018年に発生した仮想通貨取引所へのハッキングのうち、約65％が北朝鮮によるものだと推定しているとのこと。

北朝鮮が仮想通貨ハッキングで荒稼ぎ、被害額は600億円以上 | Forbes JAPAN（フォーブス ジャパン）

ラザルスグループは、過去にも類似した方法でMacユーザーをターゲットにした攻撃を行っています。2018年にロシアのセキュリティ企業カスペルスキーが公開したラザルスグループの攻撃手法は、今回と同様にCelas Limitedという偽のフロント企業を設立し、トロイの木馬マルウェアを配布するというものでした。

このマルウェアもmacOSをターゲットにしたもので、仮想通貨取引アプリのアップデート版に仕込まれていたとのこと。今回の攻撃は2018年の事例をなぞったものといえ、ラザルスグループは「正当な企業に見えるフロント企業を作り、密かにマルウェアをバラまく」という手法を洗練させているようです。