セキュリティ警告：北朝鮮関連ハッカーが暗号企業を標的とした新たなマルウェアキャンペーンを実施

高度なサイバー作戦が北朝鮮に起因するとされ、暗号通貨やフィンテック企業を標的に、先進的なマルウェアとAIを活用したソーシャルエンジニアリング技術を駆使していることが明らかになった。Google Cloudの脅威情報部門であるMandiantは、この脅威群をUNC1069と命名し、2018年に研究者によって初めて検出された活動の大幅な拡大を示す、増大する脅威のクラスターを記録している。

Mandiantが明らかにしたUNC1069：北朝鮮の進化するサイバー能力

調査により、Mandiantは特定のデータ収集と情報漏洩を目的とした7種類の異なるマルウェアを展開する標的型侵入キャンペーンを発見した。新たに特定されたツールには、重要なOSセキュリティ機能を回避し、ホストや被害者の情報を抽出するために設計されたCHROMEPUSHとDEEPBREATHが含まれる。これらに加え、研究者はSILENCELIFTをはじめとする複数のマルウェアファミリーを記録しており、これらは協調した包括的な攻撃インフラを示している。

Mandiantの技術評価によると、「この調査では、ホストと被害者のデータを取得するために設計された新しいツールセットを含む、7つのユニークなマルウェアファミリーの展開を伴う標的型侵入が明らかになった。これにはSILENCELIFT、DEEPBREATH、CHROMEPUSHが含まれる」と述べている。この多様なツールキットは、技術的に高度で、専門的な開発能力を持つ資源豊富な脅威アクターの存在を示している。

高度なソーシャルエンジニアリングとAI生成の欺瞞の融合

北朝鮮に関連するキャンペーンは、最初の接触手段として侵害されたTelegramアカウントを利用し、同時にAI生成のディープフェイク動画を用いた偽のZoom会議を仕掛けるなど、多層的な欺瞞手法を展開している。この戦術は、ソーシャル操作の手法において著しいエスカレーションを示している。被害者は、研究者が「ClickFix攻撃」と呼ぶ、隠された命令を注入し、ユーザーの気付かないうちに実行させる技術を通じて体系的に操作されている。

人工知能をソーシャルエンジニアリングに組み込むことで、脅威アクターは新興技術を武器として進化させ続けている。特にディープフェイク動画は、キャンペーンの高度さを示しており、標的組織にとっての追跡と被害者の確認をますます困難にしている。

暗号通貨業界への影響

暗号通貨やフィンテック企業を狙った意図的な攻撃は、北朝鮮のデジタル資産インフラや敏感な金融データに対する戦略的関心を示唆している。これらの作戦は、以下のような目的を持つ可能性がある。

• 認証情報の収集による企業ネットワーク内の横移動
• ブロックチェーン取引データを利用した情報収集や身代金要求
• 個人識別情報を狙った追加の侵害やスパイ活動

暗号通貨分野で活動する企業は、北朝鮮のサイバー攻撃の優先ターゲットとされており、警戒とセキュリティ態勢の強化が必要となる。2018年以降も継続し、進化を続けるこのキャンペーンは、一時的な脅威ではなく、敵対者の戦略的優先事項として位置付けられている。

企業が考慮すべき点

UNC1069キャンペーンは、ディープフェイクの検出と未然の通信の検証プロトコルに焦点を当てた従業員向けのセキュリティ意識向上訓練の重要性を浮き彫りにしている。多要素認証、エンドポイント検出と対応（EDR）、および特定されたマルウェアの署名に対する継続的な監視は、基本的な防御策として不可欠である。北朝鮮のサイバー作戦が成熟し、標的範囲を拡大し続ける中、暗号通貨企業はこの脅威を積極的かつ即時の優先事項として扱う必要がある。