北朝鮮のハッカー集団「ラザルス」から派生したグループ「ブルーノロフ」は、ベンチャーキャピタル企業、仮想通貨スタートアップ、銀行をターゲットにした活動を再開した。サイバーセキュリティ企業のカスペルスキーは、同グループが今年のほとんどの期間、活動が小康状態だったが急に活動を増加させ、マルウェアの新しい配信方法をテストしていると報告している。
ブルーノロフは、ベンチャーキャピタルや銀行を模倣した70以上の偽ドメインを作成した。ほとんどの偽物が日本の有名企業を装っていたが、中には米国やベトナムの企業を装ったものもあった。
ブルーノロフは、新しいファイルタイプやマルウェア配信方法を実験しているとのことだ。そのマルウェアは、いったん設置されると、コンテンツのダウンロードに関するWindows Mark-of-the-Web のセキュリティ警告を回避し、その後、多額の仮想通貨を口座から流出させるという。
カスペルスキーのリサーチャーによると、マルウェアによる脅威は深刻化しているという。
「来年は、これまでにない強さで、最も大きな影響を及ぼすサイバーエピデミックが発生することになるだろう。新たな悪意あるキャンペーンが始まれた、企業はこれまで以上に安全性を高めなければならなりだろう」
ラザルスから派生したブルーノロフは、2016年にバングラデシュの銀行を攻撃した後、初めて確認されたグループだ。米国のサイバーセキュリティ機関やFBIが4月に発表した警告の中では、北朝鮮のサイバー脅威の一群の中に含まれていた。
ラザルスに関連する北朝鮮によるサイバー攻撃を巡っては、最近では非代替性トークンを盗もうとするケースも指摘されている。このグループは、3月に発生した6億ドル規模のローニン・ブリッジへの攻撃にも関与していると言われている。