北朝鮮のサイバー犯罪集団ラザルス、仮想通貨取引サイトでmacOS用マルウェア配布【ニュース】

北朝鮮が支援するサイバー犯罪集団「Lazarus(ラザルス)」(米政府は「HIDDEN COBRA」と命名)が作成した疑いのある、仮想通貨関連のmacOS用マルウェアが発見された。

マルウェア研究者ディネシュ・デヴァドス氏は、 「仮想通貨の裁定取引(アービトラージ)プラットフォーム」をうたうウェブサイト「unioncrypto.vip(ユニオンクリプト・ビップ)」が「UnionCryptoTrader(ユニオンクリプト・トレーダー)」というマルウェアを配布しているのを発見したという。テック系ニュースサイト「ブリーピング・コンピューター」が2019年12月4日に報じた

北朝鮮ハッカーとのつながり

研究者によると、このマルウェアは、脅威をもたらす本体部分を遠隔地から取得しメモリー内で実行するそうだ。記事執筆時点ではmacOS標的のものでは少ないものの、ウィンドウズ上では一般的な手法だという。

この手法を採用したマルウェアはコンピューターのメモリー内のみに存在し、検出や調査(フォレンジック分析)が難しいため、ファイルレス(Fileless)・マルウェアと呼ばれている。約71種類(2019年12月現在)のウイルス対策製品の検出エンジンを比較できる「VirusTotal(ウィルストータル)」で確認したところ、検出できたのはわずか5製品だったそうだ(コインテレグラフ掲載時には10製品に増加)。

また、セキュリティ研究者兼macOSハッカーのパトリック・ウォードル氏は、10月中旬にマルウェアハンターチーム(MHT)が発見したランサムウェアと今回のマルウェアとの「明確な重複」部分を特定したという。当時、悪意のある攻撃者は、架空の仮想通貨関連企業としてウェブサイトを立ち上げ、macOSを標的とする攻撃を実行していた。マルウェアを仕込んだ仮想通貨取引アプリを作成し、オープンソースソフトウェアとしてソースコードをGitHubで公開していたそうだ。

【関連記事:仮想通貨取引所の従業員が標的、北朝鮮のサイバー犯罪集団ラザルスがmacOS用マルウェアを作成

翻訳・編集 コインテレグラフジャパン