原作者:エリプティック原文編集:Babywhale、Foresight News北朝鮮のハッカー集団「Lazarus」は最近活動を強化しているとみられ、6月3日以降、仮想通貨企業に対する4件の攻撃を確認しており、最近の仮想通貨取引所CoinExへの攻撃もLazarusによるものである可能性が高い。これに対し、CoinExは、不審なウォレットアドレスがまだ特定されているため、盗まれた資金の総額はまだ明らかではないが、5,400万ドルに達している可能性があると複数のツイートを発表した。過去 100 日間に、Lazarus は Atomic Wallet (1 億ドル)、CoinsPaid (3,730 万ドル)、Alphapo (6,000 万ドル)、Stake.com (4,100 万ドル) からほぼ 2 億 4,000 万ドル相当を盗んだことが確認されています。上に示したように、Elliptic は、CoinEx から盗まれた資金の一部が、別のブロックチェーン上ではあるものの、Stake.com から盗まれた資金を保管するために Lazarus 組織が使用したアドレスに送信されたと分析しました。その後、資金は以前 Lazarus によって使用されていたクロスチェーン ブリッジを介してイーサリアムにクロスチェーンされ、CoinEx ハッカーによって管理されていることが知られているアドレスに送り返されました。 Elliptic は、Lazarus 事件でさまざまなハッカーからのこの種の資金の混合を観察しており、最近では Stake.com から盗まれた資金が Atomic ウォレットから盗まれた資金と混合されていました。さまざまなハッカーからの資金が結合されている例は、以下の画像のオレンジ色で示されています。 )## 100 日間で 5 回の攻撃2022 年には、Harmony の Horizon Bridge への攻撃や Axie Infinity の Ronin Bridge への攻撃など、いくつかの注目を集めたハッキングが Lazarus に起因するとされており、どちらも昨年前半に発生しました。それから今年 6 月まで、Lazarus による大規模な暗号通貨盗難は公に報告されませんでした。したがって、過去100日ほどにわたるさまざまなハッキング攻撃は、北朝鮮のハッカーグループが再び活動を始めていることを示している。2023 年 6 月 3 日、非保管型分散型暗号通貨ウォレット Atomic Wallet のユーザーは 1 億ドル以上を失いました。エリプティックは、北朝鮮のハッカーグループが関与していることを示す複数の要因を特定した後、2023年6月6日にハッキングがラザラスによるものであると正式に認定し、後にFBIによって確認された。2023 年 7 月 22 日、Lazarus はソーシャル エンジニアリング攻撃を通じて、仮想通貨決済プラットフォーム CoinsPaid に属するホット ウォレットへのアクセスを取得しました。このアクセスにより、攻撃者はプラットフォームのホット ウォレットから約 3,730 万ドルの暗号資産を引き出すための承認リクエストを作成することができました。 7月26日、CoinsPaidはLazarusが攻撃の責任者であるとする報告書を発表し、FBIもそれを確認した。同じ日の 7 月 22 日、Lazarus は別の攻撃を実行し、今回は集中暗号通貨決済プロバイダーの Alphapo を標的として、6,000 万ドルの暗号資産を盗み出しました。攻撃者は、以前に漏洩した秘密キーを介してアクセスを取得した可能性があります。 FBIは後にラザロがこの事件の襲撃者であることを認めた。2023年9月4日、オンライン仮想通貨ギャンブルプラットフォームStake.comが攻撃され、おそらく秘密鍵の盗難が原因で約4100万ドル相当の仮想通貨が盗まれた。 FBIは9月6日に発表を行い、攻撃の背後にLazarus組織がいることを確認した。最後に、2023 年 9 月 12 日、集中型仮想通貨取引所 CoinEx がハッカー攻撃の被害者となり、5,400 万ドルが盗まれました。上で述べたように、複数の証拠は、ラザロがこの攻撃の責任者であることを示しています。## ラザロは「戦術」を変えた?Lazarus の最新の活動を分析すると、昨年以来、彼らが焦点を分散型サービスから集中型サービスに移していることがわかります。先ほど説明した最近のハッキング 5 件のうち 4 件は、集中暗号資産サービスプロバイダーを標的としていました。 2020 年以前、DeFi エコシステムが急速に台頭する前は、集中型取引所が Lazarus の主なターゲットでした。Lazarus が再び集中型サービスに注目している理由については、いくつかの説明が考えられます。セキュリティにもっと注意を払う:2022年のDeFiハッキング攻撃に関するエリプティックの以前の調査では、2022年には平均4日ごとに攻撃が発生し、1回の攻撃当たり平均3,260万ドルが盗まれることが判明した。クロスチェーン ブリッジは、2022 年に最も頻繁にハッキングされる DeFi プロトコル タイプの 1 つになりました。こうした傾向により、スマート コントラクトの監査と開発標準の改善が促進され、ハッカーが脆弱性を特定して悪用できる範囲が狭まった可能性があります。ソーシャル エンジニアリングの影響を受けやすい: 数多くのハッキング攻撃において、Lazarus グループが選択した攻撃方法はソーシャル エンジニアリングでした。たとえば、5 億 4,000 万ドルの Ronin Bridge のハッキングは、LinkedIn 上の偽の求人情報を通じて発見された「隙間」でした。ただし、分散型サービスは多くの従業員を抱えていない傾向があり、その名前が示すように、さまざまな程度で分散化されています。したがって、開発者への悪意のあるアクセスを取得することは、必ずしもスマート コントラクトへの管理アクセスを取得することと同じであるとは限りません。同時に、集中型取引所は比較的多くの労働力を雇用する可能性が高く、それによって標的となる可能性のある範囲が拡大します。また、中央集中型の内部情報技術システムを使用して動作する可能性もあり、Lazarus マルウェアがビジネスに侵入する可能性が高まります。
北朝鮮のハッカー集団Lazarus、100日間で3億ドルを「かき集め」集中機関を標的に
原作者:エリプティック
原文編集:Babywhale、Foresight News
北朝鮮のハッカー集団「Lazarus」は最近活動を強化しているとみられ、6月3日以降、仮想通貨企業に対する4件の攻撃を確認しており、最近の仮想通貨取引所CoinExへの攻撃もLazarusによるものである可能性が高い。これに対し、CoinExは、不審なウォレットアドレスがまだ特定されているため、盗まれた資金の総額はまだ明らかではないが、5,400万ドルに達している可能性があると複数のツイートを発表した。
過去 100 日間に、Lazarus は Atomic Wallet (1 億ドル)、CoinsPaid (3,730 万ドル)、Alphapo (6,000 万ドル)、Stake.com (4,100 万ドル) からほぼ 2 億 4,000 万ドル相当を盗んだことが確認されています。
上に示したように、Elliptic は、CoinEx から盗まれた資金の一部が、別のブロックチェーン上ではあるものの、Stake.com から盗まれた資金を保管するために Lazarus 組織が使用したアドレスに送信されたと分析しました。その後、資金は以前 Lazarus によって使用されていたクロスチェーン ブリッジを介してイーサリアムにクロスチェーンされ、CoinEx ハッカーによって管理されていることが知られているアドレスに送り返されました。 Elliptic は、Lazarus 事件でさまざまなハッカーからのこの種の資金の混合を観察しており、最近では Stake.com から盗まれた資金が Atomic ウォレットから盗まれた資金と混合されていました。さまざまなハッカーからの資金が結合されている例は、以下の画像のオレンジ色で示されています。
100 日間で 5 回の攻撃
2022 年には、Harmony の Horizon Bridge への攻撃や Axie Infinity の Ronin Bridge への攻撃など、いくつかの注目を集めたハッキングが Lazarus に起因するとされており、どちらも昨年前半に発生しました。それから今年 6 月まで、Lazarus による大規模な暗号通貨盗難は公に報告されませんでした。したがって、過去100日ほどにわたるさまざまなハッキング攻撃は、北朝鮮のハッカーグループが再び活動を始めていることを示している。
2023 年 6 月 3 日、非保管型分散型暗号通貨ウォレット Atomic Wallet のユーザーは 1 億ドル以上を失いました。エリプティックは、北朝鮮のハッカーグループが関与していることを示す複数の要因を特定した後、2023年6月6日にハッキングがラザラスによるものであると正式に認定し、後にFBIによって確認された。
2023 年 7 月 22 日、Lazarus はソーシャル エンジニアリング攻撃を通じて、仮想通貨決済プラットフォーム CoinsPaid に属するホット ウォレットへのアクセスを取得しました。このアクセスにより、攻撃者はプラットフォームのホット ウォレットから約 3,730 万ドルの暗号資産を引き出すための承認リクエストを作成することができました。 7月26日、CoinsPaidはLazarusが攻撃の責任者であるとする報告書を発表し、FBIもそれを確認した。
同じ日の 7 月 22 日、Lazarus は別の攻撃を実行し、今回は集中暗号通貨決済プロバイダーの Alphapo を標的として、6,000 万ドルの暗号資産を盗み出しました。攻撃者は、以前に漏洩した秘密キーを介してアクセスを取得した可能性があります。 FBIは後にラザロがこの事件の襲撃者であることを認めた。
2023年9月4日、オンライン仮想通貨ギャンブルプラットフォームStake.comが攻撃され、おそらく秘密鍵の盗難が原因で約4100万ドル相当の仮想通貨が盗まれた。 FBIは9月6日に発表を行い、攻撃の背後にLazarus組織がいることを確認した。
最後に、2023 年 9 月 12 日、集中型仮想通貨取引所 CoinEx がハッカー攻撃の被害者となり、5,400 万ドルが盗まれました。上で述べたように、複数の証拠は、ラザロがこの攻撃の責任者であることを示しています。
ラザロは「戦術」を変えた?
Lazarus の最新の活動を分析すると、昨年以来、彼らが焦点を分散型サービスから集中型サービスに移していることがわかります。先ほど説明した最近のハッキング 5 件のうち 4 件は、集中暗号資産サービスプロバイダーを標的としていました。 2020 年以前、DeFi エコシステムが急速に台頭する前は、集中型取引所が Lazarus の主なターゲットでした。
Lazarus が再び集中型サービスに注目している理由については、いくつかの説明が考えられます。
セキュリティにもっと注意を払う:2022年のDeFiハッキング攻撃に関するエリプティックの以前の調査では、2022年には平均4日ごとに攻撃が発生し、1回の攻撃当たり平均3,260万ドルが盗まれることが判明した。クロスチェーン ブリッジは、2022 年に最も頻繁にハッキングされる DeFi プロトコル タイプの 1 つになりました。こうした傾向により、スマート コントラクトの監査と開発標準の改善が促進され、ハッカーが脆弱性を特定して悪用できる範囲が狭まった可能性があります。
ソーシャル エンジニアリングの影響を受けやすい: 数多くのハッキング攻撃において、Lazarus グループが選択した攻撃方法はソーシャル エンジニアリングでした。たとえば、5 億 4,000 万ドルの Ronin Bridge のハッキングは、LinkedIn 上の偽の求人情報を通じて発見された「隙間」でした。ただし、分散型サービスは多くの従業員を抱えていない傾向があり、その名前が示すように、さまざまな程度で分散化されています。したがって、開発者への悪意のあるアクセスを取得することは、必ずしもスマート コントラクトへの管理アクセスを取得することと同じであるとは限りません。
同時に、集中型取引所は比較的多くの労働力を雇用する可能性が高く、それによって標的となる可能性のある範囲が拡大します。また、中央集中型の内部情報技術システムを使用して動作する可能性もあり、Lazarus マルウェアがビジネスに侵入する可能性が高まります。