ソース/楕円コンパイル/ニック北朝鮮のハッカー集団「Lazarus」は最近活動を強化しているようで、6月3日以降、暗号化業界を標的とした攻撃が4件確認されている。スローミストの最高情報セキュリティ責任者の23pds氏は、暗号取引所CoinExに対する5500万ドル規模のハッカー攻撃は北朝鮮国家支援のハッカーによって引き起こされたとツイートした。韓国の主要スパイ機関である国家情報院(NIS)を引用したAP通信の以前の報道によると、北朝鮮の支援を受けたハッカーらが2017年以来世界中から約12億ドルの仮想通貨を盗んだことは注目に値する。 NISは、北朝鮮は仮想通貨の窃盗に関して世界で最も意欲的な国の一つであると考えており、2017年の核・ミサイル実験を受けて国連が経済制裁を強化した後、同国はサイバー犯罪に焦点を当てた。さらに、過去 104 日間に、北朝鮮のハッカー グループ Lazarus が、Atomic Wallet (1 億ドル)、CoinsPaid (3,730 万ドル)、Alphapo (6,000 万ドル)、Stake.com (4,100 万ドル) から 240 万ドル近くを盗んだことが確認されています。 . 10億ドルの暗号資産。上の画像に示されているように、楕円分析は、CoinEx から盗まれた資金の一部が、別のブロックチェーン上ではあるものの、Stake.com から盗まれた資金を保管するために Lazarus 組織が使用したアドレスに送信されたことを示しています。その後、資金は以前 Lazarus によって使用されていたクロスチェーン ブリッジを介してイーサリアムにクロスチェーンされ、CoinEx ハッカーが管理するアドレスに送り返されました。Elliptic は、Lazarus 事件でも、この種のさまざまなハッカーからの資金の混合を観察しており、最近では、Stake.com から盗まれた暗号通貨が Atomic ウォレットから盗まれた資金と混合されていました。さまざまなハッカーからの資金が結合されている例は、以下の画像のオレンジ色で示されています。### 01. ラザロは104日間に5回の攻撃を行った2022 年、ハーモニーのホライゾン ブリッジやアクシー インフィニティのローニン ブリッジへの攻撃など、両方とも昨年前半に発生した、多くの注目を集めたハッキング攻撃が Lazarus によるものであるとされました。それから今年 6 月まで、Lazarus による大規模な暗号通貨盗難は公に報告されませんでした。したがって、過去 104 日間にわたるさまざまなハッキング攻撃は、この北朝鮮ハッカー グループの活動が増加していることを示しています。2023 年 6 月 3 日、非保管型分散型暗号通貨ウォレット Atomic Wallet のユーザーは 1 億ドル以上を失いました。エリプティックは、北朝鮮のハッキンググループの関与を示す複数の要因を特定した後、2023年6月6日にラザルスをハッキングの責任として正式に非難し、後にFBIによって確認された。2023 年 7 月 22 日、Lazarus はソーシャル エンジニアリング攻撃を通じて、仮想通貨決済プラットフォーム CoinsPaid に属するホット ウォレットへのアクセスを取得しました。このアクセスにより、攻撃者はプラットフォームのホット ウォレットから約 3,730 万ドルの暗号資産を引き出すための承認リクエストを作成することができました。 7月26日、CoinsPaidはLazarusが攻撃の責任者であるとする報告書を発表し、連邦捜査局(FBI)もそれを認めた。同じ日の 7 月 22 日、Lazarus は別の注目を集める攻撃を実行し、今度は集中暗号通貨決済プロバイダーの Alphapo を標的にし、暗号資産 6,000 万ドルを盗み出しました。攻撃者は、以前に漏洩した秘密キーを介してアクセスを取得した可能性があります。 FBIは後にラザロが襲撃の犯人であることを認めた。2023年9月4日、オンライン仮想通貨ギャンブルプラットフォームStake.comが攻撃を受け、おそらく秘密鍵の盗難が原因で総額約4100万米ドル相当の仮想通貨が盗まれた。 FBIは9月6日、ラザロ組織が襲撃の黒幕だったと発表した。最後に、2023 年 9 月 12 日、集中型仮想通貨取引所 CoinEx がハッカー攻撃を受け、5,400 万ドルが盗まれました。上で述べたように、複数の証拠が、この攻撃の犯人として Lazarus を示しています。### 02. ラザロは戦術を変更しましたか?Lazarus の最新の活動を分析すると、昨年以来、彼らが焦点を分散型サービスから集中型サービスに移していることがわかります。先ほど説明した最後の 5 件のハッキングのうち 4 件は、集中暗号資産サービス プロバイダーに対するものでした。 2020 年以前、分散型金融 (DeFi) エコシステムが急速に台頭する前は、集中型取引所が Lazarus によって選ばれた主なターゲットでした。Lazarus が再び集中型サービスに注目している理由については、いくつかの説明が考えられます。#### **DeFi プロトコル攻撃はより困難になる**2022年のDeFiハッキング攻撃に関するエリプティックの以前の調査では、2022年には平均4日ごとに攻撃が発生し、1回の攻撃当たり平均3,260万ドルが盗まれることが判明した。クロスチェーン ブリッジは、2022 年に最も頻繁にハッキングされる DeFi プロトコル タイプの 1 つになりました。こうした傾向により、スマート コントラクトの監査と開発標準の改善が促進され、ハッカーが脆弱性を特定して悪用できる範囲が狭まった可能性があります。#### **中央集権的な機関は社会関係が非常に複雑です**これまでの多くのハッキング攻撃で、Lazarus Group が選択した攻撃方法はソーシャル エンジニアリングでした。たとえば、5 億 4,000 万ドルの Ronin Bridge ハッキングは、LinkedIn 上の偽の求人に騙された同社の元従業員によって引き起こされました。ただし、分散型サービスは従業員が多くない傾向があり、プロジェクトはある程度分散化されています。したがって、開発者への悪意のあるアクセスを取得することは、必ずしもスマート コントラクトへの管理アクセスを取得することと同じではない可能性があります。同時に、集中型取引所は比較的多くの従業員を雇用する可能性が高いため、ターゲットとなる可能性のある範囲が広がります。また、中央集中型の内部情報技術システムを使用して動作する可能性もあり、Lazarus マルウェアがビジネスに侵入する可能性が高まります。
100日間で3億ドル、北朝鮮ハッカーが暗号界で「狂った金」
ソース/楕円
コンパイル/ニック
北朝鮮のハッカー集団「Lazarus」は最近活動を強化しているようで、6月3日以降、暗号化業界を標的とした攻撃が4件確認されている。スローミストの最高情報セキュリティ責任者の23pds氏は、暗号取引所CoinExに対する5500万ドル規模のハッカー攻撃は北朝鮮国家支援のハッカーによって引き起こされたとツイートした。
韓国の主要スパイ機関である国家情報院(NIS)を引用したAP通信の以前の報道によると、北朝鮮の支援を受けたハッカーらが2017年以来世界中から約12億ドルの仮想通貨を盗んだことは注目に値する。 NISは、北朝鮮は仮想通貨の窃盗に関して世界で最も意欲的な国の一つであると考えており、2017年の核・ミサイル実験を受けて国連が経済制裁を強化した後、同国はサイバー犯罪に焦点を当てた。
さらに、過去 104 日間に、北朝鮮のハッカー グループ Lazarus が、Atomic Wallet (1 億ドル)、CoinsPaid (3,730 万ドル)、Alphapo (6,000 万ドル)、Stake.com (4,100 万ドル) から 240 万ドル近くを盗んだことが確認されています。 . 10億ドルの暗号資産。
上の画像に示されているように、楕円分析は、CoinEx から盗まれた資金の一部が、別のブロックチェーン上ではあるものの、Stake.com から盗まれた資金を保管するために Lazarus 組織が使用したアドレスに送信されたことを示しています。その後、資金は以前 Lazarus によって使用されていたクロスチェーン ブリッジを介してイーサリアムにクロスチェーンされ、CoinEx ハッカーが管理するアドレスに送り返されました。
Elliptic は、Lazarus 事件でも、この種のさまざまなハッカーからの資金の混合を観察しており、最近では、Stake.com から盗まれた暗号通貨が Atomic ウォレットから盗まれた資金と混合されていました。さまざまなハッカーからの資金が結合されている例は、以下の画像のオレンジ色で示されています。
01. ラザロは104日間に5回の攻撃を行った
2022 年、ハーモニーのホライゾン ブリッジやアクシー インフィニティのローニン ブリッジへの攻撃など、両方とも昨年前半に発生した、多くの注目を集めたハッキング攻撃が Lazarus によるものであるとされました。それから今年 6 月まで、Lazarus による大規模な暗号通貨盗難は公に報告されませんでした。したがって、過去 104 日間にわたるさまざまなハッキング攻撃は、この北朝鮮ハッカー グループの活動が増加していることを示しています。
2023 年 6 月 3 日、非保管型分散型暗号通貨ウォレット Atomic Wallet のユーザーは 1 億ドル以上を失いました。エリプティックは、北朝鮮のハッキンググループの関与を示す複数の要因を特定した後、2023年6月6日にラザルスをハッキングの責任として正式に非難し、後にFBIによって確認された。
2023 年 7 月 22 日、Lazarus はソーシャル エンジニアリング攻撃を通じて、仮想通貨決済プラットフォーム CoinsPaid に属するホット ウォレットへのアクセスを取得しました。このアクセスにより、攻撃者はプラットフォームのホット ウォレットから約 3,730 万ドルの暗号資産を引き出すための承認リクエストを作成することができました。 7月26日、CoinsPaidはLazarusが攻撃の責任者であるとする報告書を発表し、連邦捜査局(FBI)もそれを認めた。
同じ日の 7 月 22 日、Lazarus は別の注目を集める攻撃を実行し、今度は集中暗号通貨決済プロバイダーの Alphapo を標的にし、暗号資産 6,000 万ドルを盗み出しました。攻撃者は、以前に漏洩した秘密キーを介してアクセスを取得した可能性があります。 FBIは後にラザロが襲撃の犯人であることを認めた。
2023年9月4日、オンライン仮想通貨ギャンブルプラットフォームStake.comが攻撃を受け、おそらく秘密鍵の盗難が原因で総額約4100万米ドル相当の仮想通貨が盗まれた。 FBIは9月6日、ラザロ組織が襲撃の黒幕だったと発表した。
最後に、2023 年 9 月 12 日、集中型仮想通貨取引所 CoinEx がハッカー攻撃を受け、5,400 万ドルが盗まれました。上で述べたように、複数の証拠が、この攻撃の犯人として Lazarus を示しています。
02. ラザロは戦術を変更しましたか?
Lazarus の最新の活動を分析すると、昨年以来、彼らが焦点を分散型サービスから集中型サービスに移していることがわかります。先ほど説明した最後の 5 件のハッキングのうち 4 件は、集中暗号資産サービス プロバイダーに対するものでした。 2020 年以前、分散型金融 (DeFi) エコシステムが急速に台頭する前は、集中型取引所が Lazarus によって選ばれた主なターゲットでした。
Lazarus が再び集中型サービスに注目している理由については、いくつかの説明が考えられます。
DeFi プロトコル攻撃はより困難になる
2022年のDeFiハッキング攻撃に関するエリプティックの以前の調査では、2022年には平均4日ごとに攻撃が発生し、1回の攻撃当たり平均3,260万ドルが盗まれることが判明した。クロスチェーン ブリッジは、2022 年に最も頻繁にハッキングされる DeFi プロトコル タイプの 1 つになりました。こうした傾向により、スマート コントラクトの監査と開発標準の改善が促進され、ハッカーが脆弱性を特定して悪用できる範囲が狭まった可能性があります。
中央集権的な機関は社会関係が非常に複雑です
これまでの多くのハッキング攻撃で、Lazarus Group が選択した攻撃方法はソーシャル エンジニアリングでした。たとえば、5 億 4,000 万ドルの Ronin Bridge ハッキングは、LinkedIn 上の偽の求人に騙された同社の元従業員によって引き起こされました。ただし、分散型サービスは従業員が多くない傾向があり、プロジェクトはある程度分散化されています。したがって、開発者への悪意のあるアクセスを取得することは、必ずしもスマート コントラクトへの管理アクセスを取得することと同じではない可能性があります。
同時に、集中型取引所は比較的多くの従業員を雇用する可能性が高いため、ターゲットとなる可能性のある範囲が広がります。また、中央集中型の内部情報技術システムを使用して動作する可能性もあり、Lazarus マルウェアがビジネスに侵入する可能性が高まります。