注意してください！カスペルスキーの研究者は、ラザロがあなたの資産を盗むために偽のDeFiアプリを広めることを発見

ジャカルタ - APT(Advanced Persistent Threat)アクターのLazarusは、利益を得るために新しい分散型金融アプリケーション(DeFi)をトロイの木馬化することで、暗号通貨ビジネスに打撃を与えました。

ラザログループは、少なくとも2009年から活動している世界で最も活発なAPTアクターの1つです。ほとんどの国家が支援するAPTグループとは異なり、ラザロとこのAPTに関連する他の脅威アクターは、金銭的利益を主な動機の1つにしました。

2021年12月、カスペルスキーの研究者は、Lazarusグループがトロイの木馬化されたDeFiアプリケーションを暗号通貨ビジネスに送信する新しいマルウェアキャンペーンを発見しました。このアプリには、暗号通貨ウォレットを保存および管理するDeFiウォレットと呼ばれる正当なプログラムが含まれています。

アプリを実行すると、悪意のあるファイルと正当なアプリのインストーラーの両方がドロップされ、最終的にトロイの木馬インストーラーパスでマルウェアが起動します。その後、マルウェアは正当なアプリケーションをトロイの木馬のアプリケーションで上書きします。

この感染スキームで使用されるマルウェアは、被害者のシステムをリモートで制御する機能を備えたフル機能のバックドアです。システムを制御した後、攻撃者はファイルの削除、情報の収集、特定の IP アドレスへの接続、および C2 サーバーとの通信を行うことができます。

ラザロの攻撃の歴史に基づいて、研究者は、このキャンペーンの背後にある動機は、金銭的な利益に他ならないと考えています。このバックドアの機能を調べた結果、カスペルスキーの研究者は、Lazarusグループが使用している他のツール、つまりCookieTimeマルウェアクラスターとThreatNeedleマルウェアクラスターとの重複が多いことを発見しました。多段階感染スキームは、ラザロのインフラストラクチャでも広く使用されています。

「私たちはしばらくの間、ラザログループが暗号通貨業界に高い関心を持っていることを観察し、感染プロセスに注意を向けずに被害者を誘惑するための洗練された方法をどのように開発したかを見てきました」と、グローバルリサーチアンドアナリシスチーム(GReAT)Kasperskyのシニアセキュリティ研究者であるPark Seongsuは、VOIが受け取った声明で述べています。 4月4日,月曜日。

Seongsu Park氏は、暗号通貨とブロックチェーンベースの業界は常に進化しており、より高いレベルの投資を引き付けていると付け加えました。したがって、詐欺師やフィッシング詐欺師だけでなく、金銭的に動機づけられたAPTグループを含む「ビッグハンター」にとっても魅力的です。

「暗号通貨市場の成長に伴い、この業界に対するラザロの関心は近い将来に低下しないと強く信じています。最近のキャンペーンで、Lazarusは合法的なDeFiアプリを模倣してマルウェアをドロップして悪用しましたが、これは暗号狩りで使用される一般的な戦術です。

そのため、カスペルスキーは企業に対し、不明なメールのリンクや添付ファイルに注意するよう促しています。「それは見慣れた安全に見えても、偽物になる可能性があるからです」と彼は言いました。