デビッドエドワーズ
北朝鮮と連携するサイバースパイ集団が、仮想通貨専門家を標的とした新たな標的型攻撃を開始した。攻撃者は、デジタルウォレットやパスワードマネージャーから機密性の高い認証情報を窃取するよう設計されたマルウェアを拡散している。シスコシステムズが水曜日に発表したレポートによると、この攻撃は「Famous Chollima」(別名「Wagemole」)によるものとみられており、同集団は以前から北朝鮮との関連が指摘されていた。
この攻撃は、Pythonベースのリモートアクセス型トロイの木馬(RAT)「PylangGhost」を利用しており、研究者らはこれを以前のGolangGhost RATの亜種と特定しています。このマルウェアは、攻撃者に感染システムの完全なリモート制御を許可し、80以上のブラウザ拡張機能からCookie、ブラウザの認証情報、機密データを窃取することを可能にします。標的には、MetaMask、Phantom、TronLink、MultiverseXなどの暗号通貨ウォレットアプリケーションや、1Password、NordPassなどのパスワードマネージャーが含まれます。
この攻撃は、主にインドに拠点を置くブロックチェーンおよび暗号通貨の経験を持つ専門家を狙っているようです。被害者は、Coinbase、Robinhood、Uniswapなどの企業を装った偽ウェブサイトに掲載された偽の求人広告を通じて勧誘されます。最初の接触が確立されると、攻撃者はリクルーターを装い、被害者を偽のスキルテストプラットフォームに誘導します。
偽装インタビューを通じて、被害者はビデオドライバの更新を装い、カメラアクセスを有効にし、端末コマンドを実行するよう仕向けられます。これらの手順により、悪意のあるペイロードが予期せずインストールされます。このマルウェアは、データ窃盗にとどまらず、ファイル管理、スクリーンショットのキャプチャ、システム偵察、そして永続的なリモートアクセスなど、多岐にわたります。
Cisco Talos の研究者は、マルウェアが複雑であるにもかかわらず、コードの作成に大規模な言語モデルや AI ツールが関与したという証拠はない、と指摘した。
暗号資産業界における専門家志向を悪用するこの形態のソーシャルエンジニアリングは、北朝鮮関連のサイバー攻撃の特徴となっている。1.4月には、XNUMX億ドル規模のBybitハッキング事件に関与した開発者を標的に、マルウェアに感染した採用テストを実施する際にも同じ手法が用いられた。
