原作者：エリプティック

原文編集：Babywhale、Foresight News

北朝鮮のハッカー集団「Lazarus」は最近活動を強化しているとみられ、6月3日以降、仮想通貨企業に対する4件の攻撃を確認しており、最近の仮想通貨取引所CoinExへの攻撃もLazarusによるものである可能性が高い。これに応じて、CoinEx は複数の発行物を発行しました。ツイート、不審なウォレットアドレスがまだ特定中であることを示しているため、盗まれた資金の総額は不明ですが、5,400万ドルに達している可能性があります。

過去 100 日間に、Lazarus は Atomic Wallet (1 億ドル)、CoinsPaid (3,730 万ドル)、Alphapo (6,000 万ドル)、Stake.com (4,100 万ドル) からほぼ 2 億 4,000 万ドル相当を盗んだことが確認されています。

上に示したように、Elliptic は、CoinEx から盗まれた資金の一部が、別のブロックチェーン上ではあるものの、Stake.com から盗まれた資金を保管するために Lazarus 組織が使用したアドレスに送信されたと分析しました。その後、資金は以前 Lazarus によって使用されていたクロスチェーン ブリッジを介してイーサリアムにクロスチェーンされ、CoinEx ハッカーによって管理されていることが知られているアドレスに送り返されました。 Elliptic は、Lazarus 事件でさまざまなハッカーからのこの種の資金の混合を観察しており、最近では Stake.com から盗まれた資金が Atomic ウォレットから盗まれた資金と混合されていました。さまざまなハッカーからの資金が結合されている例は、以下の画像のオレンジ色で示されています。

100日以上で5回の攻撃

2022 年、いくつかの注目を集めたハッキン​​グが Lazarus によるものであるとされました。ハーモニーのホライズンブリッジが攻撃されたそしてアクスィー・インフィニティのローニン・ブリッジが攻撃を受けています, どちらの事件も昨年前半に発生しました。それから今年 6 月まで、Lazarus による大規模な暗号通貨盗難は公に報告されませんでした。したがって、過去100日ほどにわたるさまざまなハッキング攻撃は、北朝鮮のハッカーグループが再び活動を始めていることを示している。

2023 年 6 月 3 日、非保管型分散型暗号通貨ウォレット Atomic Wallet のユーザーは 1 億ドル以上を失いました。エリプティックは、北朝鮮のハッキンググループによる犯行を示す複数の要因を特定した後、2023年6月6日にこのハッキングを正式に指定した。ラザロのせいにする、その後FBIの権限を取得した確認する。

2023 年 7 月 22 日、Lazarus はソーシャル エンジニアリング攻撃を通じて、仮想通貨決済プラットフォーム CoinsPaid に属するホット ウォレットへのアクセスを取得しました。このアクセスにより、攻撃者はプラットフォームのホット ウォレットから約 3,730 万ドルの暗号資産を引き出すための承認リクエストを作成することができました。 7月26日、CoinsPaidがリリースされました報告ラザロが攻撃の責任者であり、FBIに通報されたと述べた確認する。

同じ日の 7 月 22 日、Lazarus は別の攻撃を実行し、今回は集中暗号通貨決済プロバイダーの Alphapo を標的として、6,000 万ドルの暗号資産を盗み出しました。攻撃者は、以前に漏洩した秘密キーを介してアクセスを取得した可能性があります。 FBIはまたしても確認するこの事件の犯人はラザロでした。

2023年9月4日、オンライン仮想通貨ギャンブルプラットフォームStake.comが攻撃され、おそらく秘密鍵の盗難が原因で約4100万ドル相当の仮想通貨が盗まれた。 9月6日にFBIが投稿発表、ラザロ組織が攻撃の背後にあることを確認しました。

最後に、2023 年 9 月 12 日、集中型仮想通貨取引所 CoinEx がハッカー攻撃の被害者となり、5,400 万ドルが盗まれました。上で述べたように、複数の証拠は、ラザロがこの攻撃の責任者であることを示しています。

ラザロは「戦術」を変えた？

Lazarus の最新の活動を分析すると、昨年以来、彼らが焦点を分散型サービスから集中型サービスに移していることがわかります。先ほど説明した最近のハッキング 5 件のうち 4 件は、集中暗号資産サービスプロバイダーを標的としていました。 2020 年以前、DeFi エコシステムが急速に台頭する前は、集中型取引所が Lazarus の主なターゲットでした。

Lazarus が再び集中型サービスに注目している理由については、いくつかの説明が考えられます。

セキュリティへのさらなる焦点: 2022年のDeFiハッキングに対するEllipticの以前の対応研究2022年には平均4日ごとに攻撃が発生し、1回の攻撃当たり平均3,260万ドルが盗まれたことが判明した。クロスチェーン ブリッジは、2022 年に最も頻繁にハッキングされる DeFi プロトコル タイプの 1 つになりました。こうした傾向により、スマート コントラクトの監査と開発標準の改善が促進され、ハッカーが脆弱性を特定して悪用できる範囲が狭まった可能性があります。

ソーシャル エンジニアリングの影響を受けやすい: 数多くのハッキング攻撃において、Lazarus グループが選択した攻撃方法はソーシャル エンジニアリングでした。たとえば、5 億 4,000 万ドルの Ronin Bridge ハッキング事件は、LinkedIn 上の偽の求人を通じて特定された「ギャップ」。ただし、分散型サービスは多くの従業員を抱えていない傾向があり、その名前が示すように、さまざまな程度で分散化されています。したがって、開発者への悪意のあるアクセスを取得することは、必ずしもスマート コントラクトへの管理アクセスを取得することと同じであるとは限りません。

同時に、集中型取引所は比較的多くの労働力を雇用する可能性が高く、それによって標的となる可能性のある範囲が拡大します。また、中央集中型の内部情報技術システムを使用して動作する可能性もあり、Lazarus マルウェアがビジネスに侵入する可能性が高まります。