北朝鮮の支援が疑われるサイバー犯罪集団「ラザルス(Lazarus)」は、依然、仮想通貨を標的としており、新たな戦略を採用した。サイバーセキュリティ企業カスペルスキー・ラボが、3月26日公開のレポートで明らかにした

レポートによると、ラザルスは2018年11月から新たな動きを見せており、WindowsおよびmacOS用マルウェアを管理・制御できるパワーシェル(PowerShell)を利用しているという。不正に乗っ取った(複数の)PCの司令サーバー(C2サーバー、コマンド&コントロールサーバー)を介して、コマンドを実行する独自パワーシェル用スクリプトを開発したそうだ。

パワーシェルは、マイクロソフトが開発したコマンドラインベースの操作環境およびスクリプト言語を指す。Windowsのみを動作環境としていたが、2016年にオープンソース化され、macOSとLinuxに移植された。

C2サーバーのスクリプトは、ブログシステムのワードプレスや他のオープンソースプロジェクト用のファイルのように偽装されている。悪意のある攻撃者がC2サーバーを介して乗っ取った複数PCにマルウェア取り付けることで、ファイルのダウンロードとアップロード、マルウェア設定の更新、各PCの基本情報の収集などを行えるようになる。

カスペルスキー・ラボは、ラザルスをはじめとする悪意のある攻撃者が依然として仮想通貨業界とフィンテック業界に関わるシステムを標的にしていると指摘。これら分野のユーザーに注意を払うよう勧めた。

急成長している仮想通貨業界や、新たなテクノロジー分野の一員であるなら、新しいサードパーティを扱う際や何らかのシステムに新たなソフトウェアをインストールする際に特に注意してほしい。また、新規および信頼できないルートから受信したマイクロソフト オフィス関連のファイルでは、マクロを有効にする「コンテンツを有効にする」を選択してはならない。

北朝鮮のラザルスは、17年1月から18年9月の間、日本や韓国などアジアの仮想通貨取引所から推計5億7100万ドル(約627億円)を奪ったみられている。とりわけ去年1月に発生したコインチェックの巨額ネム流出事件への関与も疑われている。

翻訳・編集 コインテレグラフ日本版
原文 Report: Lazarus Hacker Group Adopts New Methods, Continues Targeting Crypto