北朝鮮系ハッカー、ブロックチェーン悪用で新たなサイバー攻撃を拡大 - 仮想通貨市場に迫る脅威
ブロックチェーン技術を悪用した巧妙なサイバー攻撃が急増中だ。
北朝鮮系ハッカーグループが仮想通貨取引所を標的に
分散型金融プロトコルの脆弱性を突く新たな手口で、数百万ドル規模の被害が発生。スマートコントラクトのバグを悪用した攻撃が主流に - 従来のセキュリティ対策では防御が困難な状況が続いている。仮想通貨業界は『自己責任』の名の下にセキュリティコストをユーザーに転嫁中。伝統金融なら即座に規制が入る水準のセキュリティ侵害が日常化している現実に、業界関係者は警鐘を鳴らす。
進化するマルウェア技術が示す拡大する能力
シスコTalosの研究者は、北朝鮮のグループであるFamous Chollimaによる継続的なキャンペーンを特定した。このグループは、BeaverTailとOtterCookieという2つの補完的なマルウェアを使用している。これらのプログラムは、従来は資格情報の窃取やデータの流出に使用されていたが、現在では新たな機能を統合し、より密接に連携するよう進化している。
スリランカの組織に関与する最近の事件では、攻撃者が求職者を技術評価の一部として偽装した悪意のあるコードをインストールさせた。組織自体は直接の標的ではなかったが、シスコTalosのアナリストは、OtterCookieに関連するキーロギングとスクリーンショットモジュールも観察し、偽の求人に関与する個人に対する広範なリスクを浮き彫りにした。このモジュールは、キーストロークを密かに記録し、デスクトップ画像をキャプチャし、自動的にリモートコマンドサーバーに送信していた。
Cisco Talos reports that the North Korean group Famous Chollima is using a new JavaScript module combining BeaverTail and OtterCookie for keylogging and screENShots, targeting job seekers through fake offers and malicious Node.js packages. #CyberSecurity https://t.co/vRba8a3GcT
— Cyber_OSINT (@Cyber_O51NT) October 16, 2025この観察結果は、北朝鮮に関連する脅威グループの進化と、無防備な標的を妥協させるためのソーシャルエンジニアリング技術への注力を強調している。
指令インフラとしてのブロックチェーン活用
GoogleのThreat Intelligence Group(GTIG)は、北朝鮮に関連するアクターUNC5342による作戦を特定した。このグループはETHerHidingという新しいマルウェアを使用している。このツールは、悪意のあるJavaScriptペイロードをパブリックブロックチェーン上に隠し、分散型のコマンド&コントロール(C2)ネットワークに変える。
ブロックチェーンを使用することで、攻撃者は従来のサーバーを使わずにマルウェアの動作をリモートで変更できる。法執行機関による摘発が非常に困難になる。さらに、GTIGは、UNC5342がPalo Alto Networksによって以前に特定されたContagious InterviewというソーシャルエンジニアリングキャンペーンでEtherHidingを適用したと報告し、北朝鮮に関連する脅威アクターの持続性を示している。
What is EtherHiding?
It's a novel technique where the attackers embed malicious payloads (like JADESNOW and INVISIBLEFERRET malware) within smart contracts on public blockchains (like BNB Smart Chain and Ethereum). https://t.co/AyKeSuPyWW pic.twitter.com/we4NV2PTu5
求職者を狙った仮想通貨とデータの窃盗
Googleの研究者によると、これらのサイバー作戦は通常、仮想通貨やサイバーセキュリティ業界の専門家を対象とした偽の求人投稿から始まる。被害者は偽の評価に参加するよう招かれ、その過程で悪意のあるコードが埋め込まれたファイルをダウンロードするよう指示される。
感染プロセスは、JadeSnoW、BeaverTail、InvisibleFerretを含む複数のマルウェアファミリーを伴うことが多い。これらを組み合わせることで、攻撃者はシステムにアクセスし、資格情報を盗み、ランサムウェアを効率的に展開できる。最終的な目的は、スパイ活動や金融窃盗から長期的なネットワーク侵入に至る。
シスコとGoogleは、北朝鮮に関連するサイバー脅威を検出し対応するための妥協指標(IOCs)を公開している。これらのリソースは、悪意のある活動を特定し、潜在的な侵害を軽減するための技術的な詳細を提供する。研究者は、ブロックチェーンとモジュラーマルウェアの統合が、世界的なサイバーセキュリティ防御の取り組みをさらに複雑にする可能性があると警告している。
