北朝鮮のサイバー犯罪集団ラザルス、仮想通貨取引サイトでmacOS用マルウェア配布【ニュース】

北朝鮮が支援するサイバー犯罪集団「Lazarus（ラザルス）」（米政府は「HIDDEN COBRA」と命名）が作成した疑いのある、仮想通貨関連のmacOS用マルウェアが発見された。

マルウェア研究者ディネシュ・デヴァドス氏は、 「仮想通貨の裁定取引（アービトラージ）プラットフォーム」をうたうウェブサイト「unioncrypto.vip（ユニオンクリプト・ビップ）」が「UnionCryptoTrader（ユニオンクリプト・トレーダー）」というマルウェアを配布しているのを発見したという。テック系ニュースサイト「ブリーピング・コンピューター」が2019年12月4日に報じた。

北朝鮮ハッカーとのつながり

研究者によると、このマルウェアは、脅威をもたらす本体部分を遠隔地から取得しメモリー内で実行するそうだ。記事執筆時点ではmacOS標的のものでは少ないものの、ウィンドウズ上では一般的な手法だという。

この手法を採用したマルウェアはコンピューターのメモリー内のみに存在し、検出や調査（フォレンジック分析）が難しいため、ファイルレス（Fileless）・マルウェアと呼ばれている。約71種類（2019年12月現在）のウイルス対策製品の検出エンジンを比較できる「VirusTotal（ウィルストータル）」で確認したところ、検出できたのはわずか5製品だったそうだ（コインテレグラフ掲載時には10製品に増加）。

また、セキュリティ研究者兼macOSハッカーのパトリック・ウォードル氏は、10月中旬にマルウェアハンターチーム（MHT）が発見したランサムウェアと今回のマルウェアとの「明確な重複」部分を特定したという。当時、悪意のある攻撃者は、架空の仮想通貨関連企業としてウェブサイトを立ち上げ、macOSを標的とする攻撃を実行していた。マルウェアを仕込んだ仮想通貨取引アプリを作成し、オープンソースソフトウェアとしてソースコードをGitHubで公開していたそうだ。

【関連記事：仮想通貨取引所の従業員が標的、北朝鮮のサイバー犯罪集団ラザルスがmacOS用マルウェアを作成】

翻訳・編集 コインテレグラフジャパン