Radiant Capital、北朝鮮が元契約業者を装って5,000万ドルのハッキングを実行と発表

北朝鮮が元契約業者を装って5,000万ドルのハッキングを実行

Radiant Capital（レイディアント・キャピタル）の 最新調査レポート によると、北朝鮮の国家支援を受けたハッカーが 5,000 万ドル相当のエクスプロイトの背後にいた事が発覚した。

🚨 Radiant Capital Incident Update 🚨

A detailed update on the October 16 incident is now available, with Mandiant’s ongoing investigation attributing the attack with high confidence to a Democratic People’s Republic of Korea (DPRK)-linked threat actor.

The report sheds light…

— Radiant Capital (@RDNTCapital) December 7, 2024

2024年10月にRadiant Capitalが5,000万ドルの攻撃を受けた際、北朝鮮の脅威アクターが元契約業者を装っていたと発表。Radiant Capitalは、10月に同社のDeFi（分散型金融）プラットフォームが5,000万ドルのハッキングを受けたのは、北朝鮮に所属するハッカーが元契約業者を装い、「信頼できる元請負業者」になりすまし、zipファイル付きのテレグラム（Telegram）で共有された「圧縮されたPDF」ファイルを介してマルウェアを展開。同レポートはサイバーセキュリティ会社Mandiantによる12月6日付 最新情報 の中で、次のように述べている。

この攻撃は朝鮮民主主義人民共和国と関係のある脅威アクターによるものと高い確信を持って判断した。このZIPファイルは、他の開発者にフィードバックを提供するために共有されたところ、最終的にマルウェアを配信し、その後の侵入を容易にしました。

なお、Radiant Capitalによると、このファイルはUNC4736（※別名：Citrine Sleet）とAppleJeusマルウェアの首謀者と思われる「北朝鮮と連携した脅威アクター」から発信されたもので、北朝鮮の主要諜報機関であるRGB（偵察総局）と連携。ハッカー集団ラザルス（Lazarus Group）のサブクラスターの可能性がある。

Radiantは、PDFのレビュー依頼は専門的な環境では日常的であり、開発者は「この形式で文書を頻繁に共有する」ため、このファイルは疑惑を呼ぶものではないと述べている。また、ZIPファイルに関連付けられたドメインも、請負業者の正当なウェブサイトを偽装。10月16日、ハッカーが複数の署名者の秘密鍵とスマートコントラクトを掌握したことを受け、DeFiプラットフォームは貸付市場の停止を余儀なくされた。

北朝鮮のハッカーが数十億ドル相当の仮想通貨を盗む

UNC4736は北朝鮮の偵察総局と関係があると考えられており、仮想通貨に重点を置く企業を標的にしていることが知られている。

このグループはChromiumブラウザーのゼロデイ脆弱性を悪用してブラウザーのセキュリティを回避し、ブラウザのサンドボックス内で悪意のあるコードを実行することで、仮想通貨金融機関を標的にしていた。

サイバーウォーコン・サイバーセキュリティ会議の研究者による最近の報告によると、北朝鮮のハッカーはIT労働者やその他の従業員として有名企業に侵入し、わずか6カ月で1,000万ドル（約15億円）以上を横領したことが判明。さらに、当 NEXTMONEY の2024年2月9日付特集記事「 国連は北朝鮮を30億ドルの仮想通貨窃盗で非難 」でも報じているように、2017年から2023年の間に北朝鮮の国家支援ハッカー集団が仮想通貨セクターから盗んだおよそ30億ドル（約4,536億円）は、北朝鮮の核兵器資金として使われているとされている。