US and Japan Blame North Korea for $308m Crypto Heist
2024/12/24 InfoSecurity — 米国と日本の当局は、$308m 相当の暗号通貨 を窃取する大規模なインシデントを、北朝鮮のハッカーによるものとしている。FBI/Department of Defense Cyber Crime Center/日本の警察庁からの警告によると、日本を拠点とする仮想通貨企業 DMM で、2024年5月に発生した盗難インシデントは、TraderTraitor (別名 Jade Sleet/UNC4899/Slow Pisces) として追跡されている、北朝鮮の脅威グループによるものだという。
当局が明らかにしたのは、TraderTraitor が暗号通貨盗むために、一般的なソーシャル・エンジニアリングの手法を用いたことである。このキャンペーンは、2024年3月下旬に LinkedIn で、リクルーターを装う脅威アクターが、日本を拠点とする企業向け暗号通貨ウォレット・ソフトウェアを提供する、Ginco の従業員に連絡したときに始まった。
つまり、Ginco のウォレット管理システムへのアクセスを維持する、この従業員が標的にされたことになる。
TraderTraitor は、GitHub ページにある就職前テストを装い、悪意の Python スクリプトにリンクされた URL を、その従業員に送信した。その結果として、Python コードを自身の GitHub ページにコピーした被害者が 、その後の侵害を受けることになった。
2024年5月中旬以降において、セッション・クッキー情報の窃取を達成した TraderTraitor は、それを悪用することで侵害を受けた従業員になりすまし、Ginco の暗号化されていない通信システムへのアクセスに成功した。
2024年5月下旬に TraderTraitor は、その時点で 308m 相当の 4,502.9 Bitcoin を盗みだしたが、おそらく、このアクセスを悪用することで DMM 従業員を装い、正当な取引リクエストを操作したものと推測される。
盗まれた資金は、その直後に、TraderTraitor が管理するウォレットへと移動された。
政権の資金源として暗号通貨の盗難を強化する北朝鮮
ブロックチェーン分析会社 Chainalysis が、12月19日に発表したレポートによると、北朝鮮関連のハッカーによる 2024年の暗号通貨窃取は、47件のインシデントを引き起こし、$1.34bn 相当の被害を生み出した。
これは、年間を通じて盗まれた、すべての暗号通貨インシデントによる総額の 61% に相当する。この何年かにおいて、北朝鮮のグループは膨大な量の暗号通貨を窃取しており、平壌政権に収入をもたらしている。
新しい警告によると、FBI/日本の警察庁/米国政府および国際パートナーは、サイバー犯罪や暗号通貨の窃取などを含む、北朝鮮による’違法行為の摘発と撲滅に、引き続き取り組むという。
ソーシャル・エンジニアリングで、ターゲットのセッション・クッキーを盗み出し、その後の探索を慎重に行い、最も効果的なタイミングで膨大な暗号通貨を盗み出すという、この手の犯罪の教科書どおりの手口ですね。よろしければ、North Korea で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.