史上最猖狂な暗号通貨盗難団体?ハッカー組織Lazarus Groupのマネーロンダリング手法の詳細分析
本文では、いくつかの典型的な攻撃ケースを重点的に分析し、Lazarus Group がその複雑な戦略と技術手段を通じて、これらの驚くべき攻撃を成功裏に実施した方法を明らかにします。著者:Beosin
これまで、ロイターが入手した国連の機密報告書によると、北朝鮮のハッカー集団Lazarus Groupは昨年、暗号通貨取引所から資金を盗んだ後、今年の3月に仮想通貨プラットフォームTornado Cashを通じて1.475億ドルを洗浄した。
監視員は以前に提出した文書で、国連安全保障理事会制裁委員会に対し、2017年から2024年の間に発生した97件の疑わしい北朝鮮ハッカーによる暗号通貨会社へのサイバー攻撃を調査していると伝え、これらの攻撃の総額は約36億ドルに上ると述べた。その中には昨年末のHTX暗号通貨取引所からの1.475億ドルの盗難が含まれ、今年の3月に洗浄が完了した。
アメリカは2022年にTornado Cashに制裁を課し、2023年にはその共同創設者2名が10億ドル以上の洗浄を手助けしたとして起訴された。この中には北朝鮮に関連するサイバー犯罪組織Lazarus Groupも含まれている。
暗号通貨探偵ZachXBTの調査によれば、Lazarus Groupは2020年8月から2023年10月の間に2億ドル相当の暗号通貨を法定通貨に洗浄した。
サイバーセキュリティの分野では、Lazarus Groupは長年にわたり大規模なサイバー攻撃と金融犯罪を行っているとされている。彼らの標的は特定の業界や地域に限らず、銀行システムから暗号通貨取引所、政府機関から民間企業に至るまで、世界中に広がっている。次に、いくつかの典型的な攻撃事例を分析し、Lazarus Groupがどのようにその複雑な戦略と技術を駆使して、これらの驚くべき攻撃を成功させたのかを明らかにします。
Lazarus Groupの社会工学とフィッシング攻撃の操作
この事例は、ヨーロッパの関連メディアの報道に基づいており、Lazarusは以前、ヨーロッパと中東の軍事および航空宇宙会社を標的にし、LinkedInなどのプラットフォームで求人広告を掲載して従業員を欺き、求職者に実行可能ファイルを含むPDFをダウンロードさせ、その後フィッシング攻撃を実施した。
社会工学とフィッシング攻撃は、心理的操作を利用して被害者の警戒心を緩め、リンクをクリックしたりファイルをダウンロードしたりする行動を取らせることで、彼らの安全を脅かそうとする。
彼らのマルウェアは、エージェントが被害者のシステム内の脆弱性を狙い、機密情報を盗むことを可能にする。
Lazarusは、暗号通貨決済プロバイダーCoinsPaidを対象とした6ヶ月間の作戦で同様の手法を使用し、CoinsPaidから3700万ドルが盗まれた。
この活動全体を通じて、彼らはエンジニアに虚偽の求人を送り、分散型サービス拒否攻撃などの技術的攻撃を仕掛け、多くの可能なパスワードを提出してブルートフォース攻撃を行った。
CoinBerry、Unibrightなどの攻撃事件の発生
2020年8月24日、カナダの暗号通貨取引所CoinBerryのウォレットが盗まれた。
ハッカーアドレス:
0xA06957c9C8871ff248326A1DA552213AB26A11AE
2020年9月11日、Unibrightは秘密鍵の漏洩により、チームが管理する複数のウォレットで40万ドルの未承認の送金が発生した。
ハッカーアドレス:
0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43
2020年10月6日、安全上の脆弱性により、CoinMetroのホットウォレットから75万ドル相当の暗号資産が未承認で移転された。
ハッカーアドレス:
0x044bf69ae74fcd8d1fc11da28adbad82bbb42351
Beosin KYT:盗まれた資金の流れ図
2021年初頭、各攻撃事件の資金が以下のアドレスに集約された:
0x0864b5ef4d8086cd0062306f39adea5da5bd2603。
2021年1月11日、0x0864b5アドレスがTornado Cashに3000ETHを預け、その後再び0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129アドレスを通じて1800以上のETHをTornado Cashに預けた。
その後、1月11日から1月15日の間に、Tornado Cashから約4500ETHが0x05492cbc8fb228103744ecca0df62473b2858810アドレスに引き出された。
2023年までに、攻撃者は何度も転送を行い、最終的に他の安全事件の資金集約引き出しアドレスに集約された。資金追跡図からは、攻撃者が盗まれた資金をNoones deposit addressおよびPaxful deposit addressに送信している様子が確認できる。
Nexus Mutual創設者(Hugh Karp)がハッキングされる
2020年12月14日、Nexus Mutualの創設者Hugh Karpが37万NXM(830万ドル)を盗まれた。
Beosin KYT:盗まれた資金の流れ図
盗まれた資金は以下のいくつかのアドレス間で移動し、他の資金に交換された。
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
Lazarus Groupはこれらのアドレスを通じて資金の混乱、分散、集約などの操作を行った。例えば、一部の資金はクロスチェーンでビットコインチェーンに移動され、その後一連の転送を経てイーサリアムチェーンに戻り、混合プラットフォームを通じて混合され、最終的に引き出しプラットフォームに送信された。
2020年12月16日から12月20日の間に、あるハッカーアドレス0x078405が2500ETH以上をTornado Cashに送信し、数時間後に特徴的な関連性に基づいて、0x78a9903af04c8e887df5290c91917f71ae028137アドレスが引き出し操作を開始したことが確認された。
ハッカーは転送および交換を通じて、一部の資金を前回の事件に関連する資金集約引き出しアドレスに移動させた。
その後、2021年5月から7月にかけて、攻撃者は1100万USDTをBixin deposit addressに転入した。
2023年2月から3月にかけて、攻撃者は0xcbf04b011eebc684d380db5f8e661685150e3a9eアドレスを通じて、277万USDTをPaxful deposit addressに送信した。
2023年4月から6月にかけて、攻撃者は0xcbf04b011eebc684d380db5f8e661685150e3a9eアドレスを通じて、840万USDTをNoones deposit addressに送信した。
SteadefiとCoinShiftのハッキング攻撃
Beosin KYT:盗まれた資金の流れ図
Steadefi事件の攻撃アドレス
0x9cf71f2ff126b9743319b60d2d873f0e508810dc
Coinshift事件の攻撃アドレス
0x979ec2af1aa190143d294b0bfc7ec35d169d845c
2023年8月、Steadefi事件で盗まれた624ETHがTornado Cashに移転され、同じ月にCoinshift事件で盗まれた900ETHもTornado Cashに移転された。
ETHをTornado Cashに移転した後、すぐに以下のアドレスに資金が引き出された:
0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41
0x4e75c46c299ddc74bac808a34a778c863bb59a4e
0xc884cf2fb3420420ed1f3578eaecbde53468f32e
2023年10月12日、上記の3つのアドレスはTornado Cashから引き出した資金を0x5d65aeb2bd903bee822b7069c1c52de838f11bf8アドレスに送信した。
2023年11月、0x5d65aeアドレスは資金の移転を開始し、最終的に中継と交換を通じて、資金をPaxful deposit addressおよびNoones deposit addressに送信した。
事件のまとめ
以上は、北朝鮮のハッカーLazarus Groupの過去数年の動向を紹介し、その洗浄方法を分析・まとめたものである。Lazarus Groupは暗号資産を盗んだ後、基本的にクロスチェーンを行き来し、Tornado Cashなどの混合器を通じて資金を混乱させる方法を取っている。混乱の後、Lazarus Groupは盗まれた資産をターゲットアドレスに引き出し、特定のアドレス群に送信して引き出し操作を行う。以前に盗まれた暗号資産は基本的にPaxful deposit addressおよびNoones deposit addressに預けられ、その後OTCサービスを通じて暗号資産を法定通貨に交換される。
Lazarus Groupによる連続的かつ大規模な攻撃により、Web3業界は大きなセキュリティの課題に直面している。Beosinはこのハッカー集団に引き続き注目し、その動向と洗浄方法をさらに追跡し、プロジェクトチーム、規制当局、法執行機関がこのような犯罪を取り締まり、盗まれた資産を回収する手助けを行う。
