北朝鮮の暗号ハッカーが一般的な暗号資産の目薬を改善しています。デジタルセキュリティ企業カスペルスキーの報告によると、北朝鮮で最も恐ろしい犯罪組織ラザルスグループの分派ブルーノロフAPTが、GhostCallとGhostHireという2つの新しい活動を使用して、人工知能と繰り返しのビデオ通話を利用して信頼性を高めています。
! 北朝鮮ラザルスグループの暗号通貨詐欺
(出典:X)
北朝鮮の暗号化ハッカーは世界的な脅威となっていますが、彼らの浸透戦略には重大な変化が生じています。これらの犯罪者は以前はWeb3企業に就職を試み、内部社員になることで資産を盗んだり、バックドアを埋め込もうとしていました。しかし最近、彼らは偽のリクルートメッセージを利用してマルウェアを拡散し、求職者からハンターへと変貌を遂げています。現在、彼らの計画はさらに拡大しており、手法もより識別しにくくなっています。
ラザルスグループは北朝鮮政府が支持するハッカー組織で、世界で最も活発で成功した暗号資産の泥棒と見なされています。国連とブロックチェーン分析会社Chainalysisの推計によれば、この組織は2017年以降、30億ドル以上の暗号資産を盗んでいます。これらの資金は北朝鮮の核兵器とミサイル計画の資金に使われ、国際的な安全保障の脅威となっています。
過去、Lazarus の手法は比較的粗雑でした。彼らは大量のフィッシングメールを送り、感染したファイルを添付し、誰かがクリックすることを期待していました。また、LinkedIn などの職業ソーシャルプラットフォームで求職者になりすまし、暗号資産会社の内部に侵入しようとしました。これらの方法は時には成功しましたが、成功率はそれほど高くありませんでした。なぜなら、多くの会社がすでに相応の防御機構を構築しているからです。
しかし、BlueNoroff APTはLazarus Groupの金融機関や暗号資産会社を対象とした専門の部門として、より高い専門性と適応性を示しています。カスペルスキーの研究者は、GhostCallとGhostHireの2つの活動が同じ管理基盤を共有していることを発見し、これは調整の取れた多次元攻撃計画であることを示しています。
GhostCall と GhostHire は、暗号資産目薬の新しい段階を表しており、両者は異なるターゲットを狙っていますが、類似のソーシャルエンジニアリング技術を採用しています。
GhostCallでは、これらの北朝鮮暗号資産ハッカーがWeb3の高層をターゲットにし、潜在的な投資者として偽装します。彼らはターゲットの背景、会社の状況、最近の活動を調査し、高度にパーソナライズされた投資提案やコラボレーションの招待を送信します。これらのメッセージは通常、著名なベンチャーキャピタルファンドやファミリーオフィスを代表していると主張し、数百万ドルの投資に興味があると示しています。
目標が応答すると、ハッカーは通常ZoomまたはMicrosoft Teamsを使用すると主張して、ビデオ会議を設定します。しかし、彼らは「更新版」または「安全版」と称する会議ソフトウェアのリンクを送信し、これはビジネス機密を保護するためまたはコンプライアンス要件に従うためだと主張します。このソフトウェアは実際にはクローン版で、悪意のあるコードが埋め込まれています。
一方、GhostHireは魅力的な仕事の機会でブロックチェーンエンジニアを引き付けます。ハッカーは有名な暗号資産会社やスタートアッププロジェクトのリクルーターを装い、市場相場をはるかに超える給与と株式インセンティブを提供します。「テスト」候補者のスキルを確認するために、プログラミングチャレンジや技術的なタスクの完了を求めます。
この任務は通常、GitHub リポジトリや特定の開発環境をダウンロードすることを含みます。しかし、これらのファイルには悪意のあるソフトウェアが含まれており、一度実行されるとシステムに感染します。カスペルスキーは、これらのハッカーが暗号資産開発者の好むオペレーティングシステム、特に macOS と Linux に注目し、標的を絞って悪意のあるソフトウェアの変種を開発し始めていると指摘しています。
この2つの暗号資産目薬には共通の欠陥があります:被害者は疑わしいソフトウェアと実際に対話する必要があります。これは以前の詐欺の成功率を損ないます。なぜなら、ますます多くのセキュリティ意識の高い専門家が不明な出所のソフトウェアをダウンロードすることを拒否するからです。しかし、これらの北朝鮮のハッカーは失われた機会を再利用する新しい方法を見つけました。これが現在の脅威のエスカレーションの鍵です。
GhostCall と GhostHire の間の強化された協力により、ハッカーは彼らのソーシャルエンジニアリング技術を改善でき、これは現在の暗号資産通貨目薬の最も危険な進化です。AI生成のコンテンツに加えて、彼らはハッキングされた実際の企業家アカウントや実際のビデオ通話の断片を利用して、彼らの目薬をより信頼性のあるものにすることができます。
具体的な運用方法は以下の通りです:ある暗号資産の高層が疑わしいリクルーターや投資家との接触を断った場合、ハッカーは簡単にあきらめません。むしろ、彼らはビデオ通話中のあらゆる映像、音声クリップ、背景環境を含む全体のインタラクションプロセスを記録します。たとえ今回の目薬が失敗したとしても、これらの素材は次の被害者を攻撃するための武器となります。
人工知能を利用して、ハッカーは新しい「対話」を合成し、驚くほどのリアルさで人の口調、ジェスチャー、周囲の環境を模倣することができます。例えば:
ディープフェイク動画合成:ハッカーはAIツールを使用して、失敗した目薬から得た30秒の本物の動画を合成し、被害者の表情や口の動きが完璧に同期した音声を伴う5分間の「投資説明会」または「技術面接」を作成できます。
音声クローン:数秒の音声サンプルしかなくても、現代のAIツールはほとんど真偽を区別できない音声クローンを生成できます。ハッカーは「被害者」に新しい目薬の中で特定の投資機会やリクルートプロセスを「推薦」させることができます。
身分の重層化:さらに複雑なのは、ハッカーが複数の失敗目薬の素材を組み合わせて、完全な虚偽のエコシステムを作り出すことです。たとえば、彼らは「A投資家」がビデオの中で「B創業者」に言及するように仕向けるかもしれませんが、両者は以前の目薬の被害者です。
これはどれほど危険であるか、想像に難くない。一人の暗号資産プロジェクトの創設者は警戒心が高いために一度の攻撃を回避することができるかもしれないが、数週間後には自分のイメージが他の創設者や投資家を欺くために使用されていることに気付くかもしれない。さらに悪いことに、これらのディープフェイクコンテンツはソーシャルメディアや専門ネットワーク上で拡散し、被害者の評判を損なう可能性がある。
目標が誰であっても、実際の暗号資産目薬攻撃のチェーンは類似のパターンに従います:
ハッカーはLinkedIn、Twitter、そして暗号資産フォーラムでターゲットを調査し、個人および専門情報を収集し、その後高度にパーソナライズされた初期メッセージを送信します。
何度もコミュニケーションやビデオ通話(ディープフェイク技術を使用する可能性あり)を通じて信頼関係を築き、ターゲットを警戒心から解放させる。
合理的な理由(テスト、コンプライアンス、機密)に基づいて、対象に特定のソフトウェアまたは文書のダウンロードを要求します。
一旦悪意のあるソフトウェアが実行されると、ハッカーはシステムにアクセスする権限を得て、秘密鍵やシードフレーズを盗んだり、資産を直接移転したりします。
攻撃が失敗しても、ハッカーはインタラクションの過程でのすべてのビデオ、音声、情報を収集し、今後の攻撃に利用します。
厳格な身分証明:複数の独立したルートを通じて相手の身分を確認し、単一の連絡手段に依存しないでください。
非標準ソフトウェアの拒否:公式ダウンロードのZoom、Teamsなどのツールを使用し、「特別版」を拒否します。
隔離テスト環境:もしコードや文書をテストする必要がある場合は、仮想マシンやサンドボックス環境を使用し、決してメインシステムで実行しないでください。
高圧戦術に警戒せよ:緊迫感を生み出す、迅速な決定を要求する、または「これが唯一のチャンスだ」と主張する状況は、常に高度な疑念を抱くべきである。
ハードウェアウォレットとマルチシグ:プライベートキーをハードウェアウォレットに保管し、重要な資産はマルチシグで保護します。
これらの暗号資産目薬が失敗しても、潜在的な損害は依然として巨大です。異常または高圧的な状況下で接触される可能性のある人々は警戒を怠らず、見知らぬソフトウェアをダウンロードしたり、不適切な要求を受け入れたりしないようにしてください。北朝鮮のLazarus Groupの継続的な進化は、暗号化の安全性が単なる技術的問題ではなく、国家レベルの攻撃者に対する長期的な戦争であることを示しています。
12.8K 人気度
25.6K 人気度
67.8K 人気度
9.6K 人気度
25K 人気度
GM
芝麻开门
GCAT
GDOG
GING
暗号資産目薬がアップグレード!北朝鮮のLazarusがAIを使ってZoomを深偽し、数億ドルを盗む
北朝鮮の暗号ハッカーが一般的な暗号資産の目薬を改善しています。デジタルセキュリティ企業カスペルスキーの報告によると、北朝鮮で最も恐ろしい犯罪組織ラザルスグループの分派ブルーノロフAPTが、GhostCallとGhostHireという2つの新しい活動を使用して、人工知能と繰り返しのビデオ通話を利用して信頼性を高めています。
求職者から狩猟者までの北朝鮮ラザログループ
! 北朝鮮ラザルスグループの暗号通貨詐欺
(出典:X)
北朝鮮の暗号化ハッカーは世界的な脅威となっていますが、彼らの浸透戦略には重大な変化が生じています。これらの犯罪者は以前はWeb3企業に就職を試み、内部社員になることで資産を盗んだり、バックドアを埋め込もうとしていました。しかし最近、彼らは偽のリクルートメッセージを利用してマルウェアを拡散し、求職者からハンターへと変貌を遂げています。現在、彼らの計画はさらに拡大しており、手法もより識別しにくくなっています。
ラザルスグループは北朝鮮政府が支持するハッカー組織で、世界で最も活発で成功した暗号資産の泥棒と見なされています。国連とブロックチェーン分析会社Chainalysisの推計によれば、この組織は2017年以降、30億ドル以上の暗号資産を盗んでいます。これらの資金は北朝鮮の核兵器とミサイル計画の資金に使われ、国際的な安全保障の脅威となっています。
過去、Lazarus の手法は比較的粗雑でした。彼らは大量のフィッシングメールを送り、感染したファイルを添付し、誰かがクリックすることを期待していました。また、LinkedIn などの職業ソーシャルプラットフォームで求職者になりすまし、暗号資産会社の内部に侵入しようとしました。これらの方法は時には成功しましたが、成功率はそれほど高くありませんでした。なぜなら、多くの会社がすでに相応の防御機構を構築しているからです。
しかし、BlueNoroff APTはLazarus Groupの金融機関や暗号資産会社を対象とした専門の部門として、より高い専門性と適応性を示しています。カスペルスキーの研究者は、GhostCallとGhostHireの2つの活動が同じ管理基盤を共有していることを発見し、これは調整の取れた多次元攻撃計画であることを示しています。
GhostCallとGhostHireの2つの暗号通貨詐欺
GhostCall と GhostHire は、暗号資産目薬の新しい段階を表しており、両者は異なるターゲットを狙っていますが、類似のソーシャルエンジニアリング技術を採用しています。
GhostCall: Web3 エグゼクティブのための投資家詐欺
GhostCallでは、これらの北朝鮮暗号資産ハッカーがWeb3の高層をターゲットにし、潜在的な投資者として偽装します。彼らはターゲットの背景、会社の状況、最近の活動を調査し、高度にパーソナライズされた投資提案やコラボレーションの招待を送信します。これらのメッセージは通常、著名なベンチャーキャピタルファンドやファミリーオフィスを代表していると主張し、数百万ドルの投資に興味があると示しています。
目標が応答すると、ハッカーは通常ZoomまたはMicrosoft Teamsを使用すると主張して、ビデオ会議を設定します。しかし、彼らは「更新版」または「安全版」と称する会議ソフトウェアのリンクを送信し、これはビジネス機密を保護するためまたはコンプライアンス要件に従うためだと主張します。このソフトウェアは実際にはクローン版で、悪意のあるコードが埋め込まれています。
GhostHire:ブロックチェーンエンジニア向けの目薬
一方、GhostHireは魅力的な仕事の機会でブロックチェーンエンジニアを引き付けます。ハッカーは有名な暗号資産会社やスタートアッププロジェクトのリクルーターを装い、市場相場をはるかに超える給与と株式インセンティブを提供します。「テスト」候補者のスキルを確認するために、プログラミングチャレンジや技術的なタスクの完了を求めます。
この任務は通常、GitHub リポジトリや特定の開発環境をダウンロードすることを含みます。しかし、これらのファイルには悪意のあるソフトウェアが含まれており、一度実行されるとシステムに感染します。カスペルスキーは、これらのハッカーが暗号資産開発者の好むオペレーティングシステム、特に macOS と Linux に注目し、標的を絞って悪意のあるソフトウェアの変種を開発し始めていると指摘しています。
この2つの暗号資産目薬には共通の欠陥があります:被害者は疑わしいソフトウェアと実際に対話する必要があります。これは以前の詐欺の成功率を損ないます。なぜなら、ますます多くのセキュリティ意識の高い専門家が不明な出所のソフトウェアをダウンロードすることを拒否するからです。しかし、これらの北朝鮮のハッカーは失われた機会を再利用する新しい方法を見つけました。これが現在の脅威のエスカレーションの鍵です。
AI 深偽技術は失敗を新しい武器に変える
GhostCall と GhostHire の間の強化された協力により、ハッカーは彼らのソーシャルエンジニアリング技術を改善でき、これは現在の暗号資産通貨目薬の最も危険な進化です。AI生成のコンテンツに加えて、彼らはハッキングされた実際の企業家アカウントや実際のビデオ通話の断片を利用して、彼らの目薬をより信頼性のあるものにすることができます。
具体的な運用方法は以下の通りです:ある暗号資産の高層が疑わしいリクルーターや投資家との接触を断った場合、ハッカーは簡単にあきらめません。むしろ、彼らはビデオ通話中のあらゆる映像、音声クリップ、背景環境を含む全体のインタラクションプロセスを記録します。たとえ今回の目薬が失敗したとしても、これらの素材は次の被害者を攻撃するための武器となります。
人工知能を利用して、ハッカーは新しい「対話」を合成し、驚くほどのリアルさで人の口調、ジェスチャー、周囲の環境を模倣することができます。例えば:
ディープフェイク動画合成:ハッカーはAIツールを使用して、失敗した目薬から得た30秒の本物の動画を合成し、被害者の表情や口の動きが完璧に同期した音声を伴う5分間の「投資説明会」または「技術面接」を作成できます。
音声クローン:数秒の音声サンプルしかなくても、現代のAIツールはほとんど真偽を区別できない音声クローンを生成できます。ハッカーは「被害者」に新しい目薬の中で特定の投資機会やリクルートプロセスを「推薦」させることができます。
身分の重層化:さらに複雑なのは、ハッカーが複数の失敗目薬の素材を組み合わせて、完全な虚偽のエコシステムを作り出すことです。たとえば、彼らは「A投資家」がビデオの中で「B創業者」に言及するように仕向けるかもしれませんが、両者は以前の目薬の被害者です。
これはどれほど危険であるか、想像に難くない。一人の暗号資産プロジェクトの創設者は警戒心が高いために一度の攻撃を回避することができるかもしれないが、数週間後には自分のイメージが他の創設者や投資家を欺くために使用されていることに気付くかもしれない。さらに悪いことに、これらのディープフェイクコンテンツはソーシャルメディアや専門ネットワーク上で拡散し、被害者の評判を損なう可能性がある。
実際の攻撃チェーンと防御の提案
目標が誰であっても、実際の暗号資産目薬攻撃のチェーンは類似のパターンに従います:
ステージ1:研究と接触
ハッカーはLinkedIn、Twitter、そして暗号資産フォーラムでターゲットを調査し、個人および専門情報を収集し、その後高度にパーソナライズされた初期メッセージを送信します。
ステップ2:信頼を築く
何度もコミュニケーションやビデオ通話(ディープフェイク技術を使用する可能性あり)を通じて信頼関係を築き、ターゲットを警戒心から解放させる。
ステップ3:誘導ダウンロード
合理的な理由(テスト、コンプライアンス、機密)に基づいて、対象に特定のソフトウェアまたは文書のダウンロードを要求します。
ステップ4:システム浸透
一旦悪意のあるソフトウェアが実行されると、ハッカーはシステムにアクセスする権限を得て、秘密鍵やシードフレーズを盗んだり、資産を直接移転したりします。
ステージ5:素材収集
攻撃が失敗しても、ハッカーはインタラクションの過程でのすべてのビデオ、音声、情報を収集し、今後の攻撃に利用します。
重要な防御
厳格な身分証明:複数の独立したルートを通じて相手の身分を確認し、単一の連絡手段に依存しないでください。
非標準ソフトウェアの拒否:公式ダウンロードのZoom、Teamsなどのツールを使用し、「特別版」を拒否します。
隔離テスト環境:もしコードや文書をテストする必要がある場合は、仮想マシンやサンドボックス環境を使用し、決してメインシステムで実行しないでください。
高圧戦術に警戒せよ:緊迫感を生み出す、迅速な決定を要求する、または「これが唯一のチャンスだ」と主張する状況は、常に高度な疑念を抱くべきである。
ハードウェアウォレットとマルチシグ:プライベートキーをハードウェアウォレットに保管し、重要な資産はマルチシグで保護します。
これらの暗号資産目薬が失敗しても、潜在的な損害は依然として巨大です。異常または高圧的な状況下で接触される可能性のある人々は警戒を怠らず、見知らぬソフトウェアをダウンロードしたり、不適切な要求を受け入れたりしないようにしてください。北朝鮮のLazarus Groupの継続的な進化は、暗号化の安全性が単なる技術的問題ではなく、国家レベルの攻撃者に対する長期的な戦争であることを示しています。