Paradigm：北朝鮮のハッカー組織Lazarus Groupの脅威の謎を解明する

原題：《北朝鮮の脅威を解明する》

著者：samczsun，Paradigm 研究パートナー

編纂：Bright，Foresight News

2月のある朝、SEAL 911 グループのランプが点灯し、私たちは困惑しながら Bybit が彼らのコールドウォレットから新しいアドレスに 10 億ドル以上のトークンを移動させ、その後すぐに 2 億ドル以上の LST を清算し始めるのを見ていました。数分以内に、私たちは Bybit チームと独立した分析（マルチシグ、以前は公開検証された Safe Wallet を使用していましたが、現在は新たに展開された未検証の契約を使用）から、これは実際には定期メンテナンスではないことを確認しました。誰かが暗号通貨史上最大のハッキング攻撃を仕掛けており、私たちはその歴史的な幕の最前列に座っていました。

チームの一部のメンバー（およびより広範な偵察コミュニティ）が資金を追跡し、取引所に通知を送信し始める一方で、他のメンバーは何が起こったのか、他に危険にさらされている資金があるのかを理解しようとしていました。幸運なことに、加害者を特定するのは簡単でした。過去数年間で、暗号通貨取引所から数十億ドルを盗んだ既知の脅威者はただ一人、北朝鮮、すなわち DPRK です。

しかし、それ以外にはほとんど手がかりがありませんでした。北朝鮮のハッカーの狡猾な性格と自己隠蔽の巧妙な手法により、侵入の根本原因を特定することは難しく、さらには北朝鮮内部のどの特定のチームがこれに責任を持っているのかを知ることすら困難でした。私たちが頼れる唯一の情報は、北朝鮮が確かに社会工学を通じて暗号通貨取引所に侵入することを好むというものでした。したがって、私たちは北朝鮮が Bybit のマルチシグ署名者を侵害し、署名プロセスを妨害するために悪意のあるソフトウェアを展開した可能性が高いと推測しました。

実際、この推測は完全に無意味でした。数日後、私たちは北朝鮮が実際に Safe Wallet 自体のインフラを破壊し、Bybit に特化した悪意のある過負荷を展開したことを発見しました。この複雑さは誰も考慮したことがなく、準備もしていなかったものであり、市場に出回っている多くのセキュリティモデルにとって重大な挑戦となりました。

北朝鮮のハッカーは私たちの業界に対してますます深刻な脅威をもたらしており、私たちは理解していない敵に対抗することはできません。北朝鮮のサイバー活動に関するさまざまな側面については多くの記録された事件や記事がありますが、それらをまとめるのは難しいです。この概要が、北朝鮮の運営方法や彼らの戦略と手順をより包括的に理解する手助けとなり、私たちが適切な緩和策を実施しやすくなることを願っています。

組織構造

おそらく解決すべき最大の誤解は、北朝鮮の膨大なサイバー活動を分類し、命名する方法です。口語では「ラザルスグループ」という用語を使って総称することは許容されますが、北朝鮮の体系的なサイバー脅威について詳細に議論する際には、より厳密な表現を使用することが役立ちます。

まず、北朝鮮の「組織構造図」を理解することが役立ちます。北朝鮮の最高層は北朝鮮の政党（唯一の政党でもある）である朝鮮労働党 (WPK) であり、北朝鮮のすべての政府機関はその指導を受けています。その中には朝鮮人民軍 (KPA) と中央委員会が含まれます。人民軍内には総参謀部 (GSD) があり、ここに情報総局 (RGB) が設置されています。中央委員会の下には軍需工業部 (MID) があります。

RGB はほぼすべての北朝鮮のサイバー戦争を担当しており、暗号通貨業界で観察されるほぼすべての北朝鮮の活動が含まれています。悪名高いラザルスグループの他に、RGB に登場する他の脅威行為者には AppleJeus、APT38、DangerousPassword、TraderTraitor が含まれます。一方、MID は北朝鮮の核ミサイル計画を担当しており、北朝鮮の IT 労働者の主要な供給源であり、情報界では Contagious Interview と Wagemole と呼ばれています。

ラザルスグループ (Lazarus Group)

ラザルスグループ (Lazarus Group) は高度に複雑なハッカー組織であり、サイバーセキュリティ専門家は、歴史上のいくつかの最大かつ破壊的なハッキング攻撃がこの組織によるものであると考えています。2016 年、Novetta はソニー・ピクチャーズエンタテインメント (Sony) のハッキング事件を分析する際に初めてラザルスグループを発見しました。

2014 年、ソニーはアクションコメディ映画「ザ・インタビュー」を制作しており、その主要なプロットポイントは金正恩が屈辱を受け、その後暗殺されるというものでした。理解できることに、これは北朝鮮政権に歓迎されず、北朝鮮政権はソニーのネットワークに侵入し、数 TB のデータを盗み、数百 GB の機密またはその他の敏感な情報を漏洩し、原本を削除することで報復しました。当時の CEO であるマイケル・リンチは「このようなことをする人々は、家の中のすべてを盗むだけでなく、家を燃やしてしまう」と述べました。最終的に、ソニーはこの攻撃における調査と修復に少なくとも 1500 万ドルを費やし、損失はさらに大きい可能性があります。

その後、2016 年に、ラザルスグループに非常に似たハッカーがバングラデシュ銀行に侵入し、約 10 億ドルを盗もうとしました。1 年間にわたり、ハッカーはバングラデシュ銀行の従業員に対して社会工学攻撃を行い、最終的にリモートアクセス権を取得し、銀行内部ネットワーク内を移動して SWIFT ネットワークとのやり取りを担当するコンピュータに到達しました。それ以来、彼らは絶好の攻撃機会を待っていました：バングラデシュ銀行は木曜日に週末を休みますが、ニューヨーク連邦準備銀行は金曜日に週末を休みます。バングラデシュ現地時間の木曜日の夜、脅威行為者は SWIFT ネットワークへのアクセス権を利用してニューヨーク連邦準備銀行に 36 件の個別の送金リクエストを送信しました。その時は現地時間の木曜日の朝でした。次の 24 時間以内に、ニューヨーク連邦準備銀行はこれらの送金をフィリピンのリサール商業銀行 (RCBC) に転送し、同銀行は行動を開始しました。その後、バングラデシュ銀行が再開したとき、ハッキング事件が発覚し、彼らはリサール商業銀行に進行中の取引を停止するよう通知しようとしましたが、リサール商業銀行は旧正月の休暇のためにすでに閉鎖されていました。

最終的に、2017 年には大規模な WannaCry 2.0 ランサムウェア攻撃が世界中の産業を破壊し、その一部はラザルスグループに起因しています。WannaCry による損失は数十億ドルに上ると推定されており、NSA が最初に開発した Microsoft Windows の 0day を利用し、ローカルデバイスを暗号化するだけでなく、他のアクセス可能なデバイスに拡散し、最終的には世界中の数十万台のデバイスに感染しました。幸運なことに、セキュリティ研究者のマーカス・ハッチンズが 8 時間以内に停止スイッチを発見し、起動したため、最終的な損失はある程度制限されました。

ラザルスグループの発展を通じて、彼らは非常に高い技術力と実行力を示し、彼らの目標の一つは北朝鮮政権に収入を生み出すことです。したがって、彼らが暗号通貨業界に目を向けるのは時間の問題でした。

派生

時間が経つにつれて、ラザルスグループが北朝鮮のサイバー活動を表現する際にメディアが好んで使用する総称となるにつれ、サイバーセキュリティ業界はラザルスグループと北朝鮮の具体的な活動に対してより正確な名称を作成しました。APT38 はその一例で、2016 年頃にラザルスグループから分離し、金融犯罪に焦点を当て、最初は銀行（バングラデシュ銀行など）をターゲットにし、その後暗号通貨に移行しました。さらに、2018 年には AppleJeus という新たな脅威が発見され、暗号通貨ユーザーを狙った悪意のあるソフトウェアが広がっていました。最後に、2018 年の初めに OFAC が北朝鮮人が使用する 2 つのフロント企業に制裁を初めて発表した際、IT 労働者を装った北朝鮮人がすでにテクノロジー業界に浸透していました。

北朝鮮 IT 労働者

北朝鮮 IT 労働者に関する最初の記録は 2018 年の OFAC 制裁に遡りますが、Unit 42 の 2023 年の報告書はより詳細に説明し、2 つの異なる脅威行為者を特定しました：Contagious Interview と Wagemole 。

報告によれば、Contagious Interview は著名な企業の採用担当者を装い、開発者を偽の面接プロセスに誘い込みます。その後、潜在的な候補者にはローカルデバッグ用にリポジトリをクローンするよう指示され、表向きはコーディングチャレンジとして提示されますが、実際にはそのリポジトリにはバックドアが含まれており、バックドアを実行すると影響を受けたマシンの制御が攻撃者に渡ります。この活動は継続中で、最近の記録は 2024 年 8 月 11 日のものです。

一方、Wagemole 特工の主な目的は潜在的な被害者を雇うことではなく、企業に雇われて普通のエンジニアのように働くことですが、効率はあまり高くないかもしれません。それにもかかわらず、記録によれば、IT 労働者は彼らのアクセス権を利用して攻撃を行っています。例えば、Munchables 事件では、北朝鮮の活動に関連する従業員がスマートコントラクトへの特権アクセスを利用してすべての資産を盗みました。

Wagemole 特工の複雑さはさまざまで、ありふれた履歴書テンプレートやビデオ通話に参加したがらないものから、高度にカスタマイズされた履歴書、深層偽造されたビデオ面接、運転免許証や公共料金の請求書などの身分証明書に至るまで様々です。場合によっては、特工は被害組織に最大で 1 年間潜伏し、その後、彼らのアクセス権を利用して他のシステムに侵入したり、完全に現金化したりします。

アップルイエス（AppleJeus）

AppleJeus は主に悪意のあるソフトウェアの拡散に焦点を当て、複雑なサプライチェーン攻撃を得意としています。2023 年、3CX サプライチェーン攻撃により攻撃者は 3CX VoIP ソフトウェアの 1200 万ユーザーを感染させる可能性がありましたが、後に 3CX 自体もその上流のサプライヤーの 1 つである Trading Technologies のサプライチェーン攻撃の影響を受けていることが判明しました。

暗号通貨業界において、AppleJeus は最初に合法的なソフトウェア（取引ソフトウェアや暗号通貨ウォレットなど）として包装された悪意のあるソフトウェアを配布することによって広まりました。しかし、時間が経つにつれて、彼らの戦略は変化しました。2024 年 10 月、Radiant Capital は信頼できる請負業者を装った脅威行為者によって Telegram 経由で送信された悪意のあるソフトウェアに侵入され、Mandiant はこれを AppleJeus に帰属させました。

危険なパスワード（Dangerous Password）

Dangerous Password は暗号通貨業界に対して低複雑度の社会工学に基づく攻撃を行っています。早くも 2019 年、JPCERT/CC は Dangerous Password がユーザーにダウンロードさせるために魅力的な添付ファイルを含むフィッシングメールを送信していることを記録しました。数年前、Dangerous Password は業界の著名人を装ってフィッシングメールを送信し、「ステーブルコインと暗号資産のリスクが巨大である」という件名で送信していました。

現在、Dangerous Password はフィッシングメールを送信し続けていますが、他のプラットフォームにも拡大しています。例えば、Radiant Capital は、彼らが Telegram 経由でフィッシングメッセージを受け取ったと報告しており、そのメッセージはセキュリティ研究者を装った人物からのもので、「PenpieHackingAnalysis_Report.zip」というファイルを配布していました。さらに、ユーザーは、誰かが記者や投資家を装って連絡を取り、目立たないビデオ会議アプリを使用して通話を設定するよう求めてきたと報告しています。Zoom のように、これらのアプリは一度だけインストーラーをダウンロードしますが、実行時にデバイスに悪意のあるソフトウェアをインストールします。

トレーダーの裏切り者（TraderTraitor）

TraderTraitor は暗号通貨業界で最も洗練された北朝鮮のハッカーであり、Axie Infinity や Rain.com などに対してハッキング攻撃を仕掛けています。TraderTraitor はほぼすべての大規模な取引所や他の企業をターゲットにし、ゼロデイ脆弱性を展開することはなく、高度に複雑なフィッシング技術を使用して被害者を攻撃します。Axie Infinity のハッキング事件では、TraderTraitor は LinkedIn を通じて上級エンジニアに接触し、彼らを一連の面接に参加させることに成功し、その後「提案」を送信して悪意のあるソフトウェアを配布しました。その後、WazirX のハッキング事件では、TraderTraitor 特工が署名パイプライン内の未確認のコンポーネントを破壊し、繰り返し入金と出金を行って取引所のホットウォレットを枯渇させ、WazirX のエンジニアがコールドウォレットからホットウォレットへの再バランスを行うことを引き起こしました。WazirX のエンジニアが資金を移動するために取引を署名しようとしたとき、彼らは冷蔵庫の制御を TraderTraitor に移譲する取引を署名するように誘導されました。これは、2025 年 2 月に Bybit に対して行われた攻撃と非常に似ており、その際 TraderTraitor は最初に社会工学攻撃を通じて Safe{Wallet} のインフラを破壊し、その後 Bybit のコールドウォレットの Safe Wallet フロントエンドに悪意のある JavaScript を展開しました。Bybit がウォレットの再バランスを行うと、悪意のあるコードが起動し、Bybit のエンジニアが冷蔵庫の制御を TraderTraitor に移譲する取引を署名することになりました。

安全を保つ

北朝鮮は敵にゼロデイ脆弱性を展開する能力を示していますが、現在のところ、北朝鮮が暗号通貨業界にゼロデイ脆弱性を展開した記録や既知の事件はありません。したがって、ほぼすべての北朝鮮ハッカーの脅威に対して、典型的なセキュリティアドバイスが適用されます。

個人にとっては、常識を働かせ、社会工学的手法に警戒することが重要です。例えば、誰かが非常に機密性の高い情報を持っていると主張し、それを共有したがっている場合は、慎重に行動してください。また、誰かが時間的なプレッシャーをかけて特定のソフトウェアをダウンロードして実行するよう要求してきた場合、彼らがあなたを論理的思考ができない状況に陥れようとしているのかどうかを考慮してください。

組織にとっては、可能な限り最小特権の原則を適用することが重要です。敏感なシステムにアクセスできる人の数を最小限に抑え、彼らがパスワードマネージャーと 2FA を使用していることを確認してください。個人のデバイスと作業デバイスを分け、作業デバイスにモバイルデバイス管理 (MDM) およびエンドポイント検出と応答 (EDR) ソフトウェアをインストールして、ハッキング侵入前のセキュリティとハッキング侵入後の可視性を確保してください。

残念ながら、大規模な取引所や他の高価値のターゲットに対しては、TraderTraitor はゼロデイ脆弱性がなくても予想以上の破壊を行うことができます。したがって、単一障害点が存在しないことを確認するために、追加の予防措置を講じる必要があります。一度の侵入で資金が全て失われることを避けるためです。

しかし、すべてが失敗した場合でも、希望は残っています。連邦捜査局には、北朝鮮の侵入を追跡し防止するための専門部門があり、長年にわたり被害者への通知を行っています。最近、私はその部門の特工が潜在的な北朝鮮のターゲットと連絡を取る手助けをすることができて嬉しく思っています。したがって、最悪の事態に備えるために、公開された連絡先情報を持っているか、エコシステム内の十分な数の人々（例えば SEAL 911）と連絡を取っていることを確認してください。そうすれば、ソーシャルグラフを通じてのメッセージが最も早くあなたの手元に届くでしょう。