北朝鮮のハッカー集団、アメリカにダミー企業を設立していた──暗号資産開発者にマルウェアを配布 | CoinDesk JAPAN（コインデスク・ジャパン）

• 北朝鮮のハッカーが暗号資産開発者を標的とするため、アメリカに偽の企業を設立していたと、セキュリティ企業のサイレント・プッシュが明らかにした。
• この作戦では、ラザルス・グループと関連する架空の企業「Blocknovas」と「Softglide」が設立された。
• FBIは、偽の求人の投稿を通じてマルウェアを配布するために使用されたとして、Blocknovasのドメインを差し押さえた。

北朝鮮のハッカーがアメリカ人テクノロジー起業家を装い、ニューヨークとニューメキシコで企業を密かに設立した。これは、暗号資産（仮想通貨）業界の開発者を標的とした作戦の一環だと、セキュリティ企業のサイレント・プッシュ（Silent Push）が4月24日に発表した。

BlocknovasとSoftglideという2つの企業は、架空の身分と住所を使用して設立された。この作戦は、ラザルス・グループ（Lazarus Group）内のサブグループと関連している。

北朝鮮が支援するハッカー集団のラザルスは、過去数年間にわたり、高度な技術と戦略を用いて、警戒心の薄い個人や企業を標的とし、数十億ドル相当の暗号資産を盗み出してきた。

「これは、北朝鮮のハッカーが実際にアメリカで合法的な企業を設立し、警戒心の薄い求職者を標的とした攻撃用のフロント企業を構築した稀な事例だ」と、サイレント・プッシュの脅威インテリジェンスディレクター、ケイシー・ベスト（Kasey Best）氏は述べた。

ハッカーの手口は巧妙かつ効果的だ。偽のリンクトイン（LinkedIn）風プロフィールと求人投稿で暗号資産開発者を面接に誘い込み、採用プロセス中に、求人ツールを装ったマルウェアをダウンロードさせるように仕向けるのだ。

サイレント・プッシュは、この作戦の被害者を複数特定し、特にBlocknovasを通じて連絡された被害者が多かったと指摘している。Blocknovasはフロント企業の中で最も活動が活発だったという。Blocknovasのサウスカロライナ州の登録住所は空き地であることが判明し、Softglideはニューヨーク州バッファローの税務署に登録されていた。

サイレント・プッシュは、キャンペーンで使用されたマルウェアには、北朝鮮のサイバー部隊と関連付けられた少なくとも3つのウイルス株が含まれていると付け加えた。これらのプログラムは、データを盗み、感染したシステムへのリモートアクセスを提供し、追加のスパイウェアやランサムウェアの侵入経路として機能する。

ロイターの報道によると、アメリカ連邦捜査局（FBI）はBlocknovasのドメインを差し押さえた。サイトに投稿された通知では、このドメインは「北朝鮮のサイバー犯罪行為者が偽の求人の投稿で個人を欺き、マルウェアを配布するために利用したため、法執行機関の措置の一環として削除された」と説明されている。