レイザス・グループとは何ですか?数十億ドルの強奪事件の背後にいるハッカーたちです
ラザラス・グループは、北朝鮮政府と関連付けられたハッキング組織です。サイバースペースでの活動が2009年に始まって以来、バングラデシュ中央銀行からの2016年の盗難や2022年のローニン・ネットワークへの攻撃など、多数の重大なサイバー攻撃の容疑をかけられています。数十億ドルの盗難が発生しました。
詐欺とハッキング
主なポイント
- ラザラス・グループは、10億ドル規模のサイバー強盗を担当する、北朝鮮国家支援のハッカーチームです。彼らの活動資金は、国のミサイルおよび核プログラムを支えています。
- Lazarusは、金融機関、暗号通貨取引所、政府機関に侵入するためにカスタムマルウェア、ゼロデイの脆弱性、スピアフィッシングキャンペーンを使用しています。
- 注目すべき攻撃には、$1.5十億のBybitハック(2025年)、$625百万のRonin Bridge侵害(2022年)、および$101百万のバングラデシュ銀行強盗(2016年)が含まれています。
- グループは、彼らの足跡を隠し、侵害されたネットワークへの長期的なアクセスを維持するために、誤誘導、バックドア、アンチフォレンジック技術、ワイパーを使用しています。
2025年2月21日のBybit暗号攻撃は、再び悪名高いLazarusグループにスポットライトを当てました。これまでに、Lazarusグループは暗号ビジネスへの壊滅的な攻撃の連続を“功績”として$60億を盗み出しました。2017年以来、によるとto blockchain analytics firm Elliptic. No wonder Lazarus has earned the title of the supervillain in crypto.
史上最も多産なサイバー犯罪組織の1つとして、Lazarus Groupは使用します高度なハッキング戦術そしてしばしば白襟の一線作業員であり、全面的な国家の支援を示しています。
これにより、Lazarus Groupに関する重要な問題、複雑なBybit攻撃の実行、および他の類似したハック、そして暗号組織がこの増加している脅威と戦う方法についての重要な問題が浮かび上がります。この記事では、これらの問題などについて探っていきます。
Lazarus Groupの起源と背景
ラザラス・グループは、サイバー諜報活動や資金の流出で悪名高い、民主主義人民共和国(DPRK)または北朝鮮を拠点とする脅威として知られる行為者です。
2009年から活動しており、北朝鮮政府の偵察総局(RGB)、同国の主要な情報機関と関係しています。この高度な持続的脅威(APT)グループは、金融機関に対する高度なクロスプラットフォーム攻撃で知られています。暗号通貨取引所, SWIFTシステムのエンドポイント、カジノ、世界中のATM。
グループと国家の情報機関とのつながりは、国の支援を示唆しています。ハッカーたちは悪質な活動に対する国の庇護を受けており、それは地元の法執行機関を恐れることなく活動できることを意味しています。彼らの活動は、情報収集だけでなく、国のミサイルおよび核プログラムの資金調達も目的としています。
米国連邦捜査局(FBI)は、ラザラス・グループを北朝鮮の「国家支援ハッキング組織」と呼んでいます。北朝鮮の亡命者である金国成は、その部隊が北朝鮮内で414連絡事務所として知られていると明かしました。
これまでの数年間、Lazarusグループは、その戦術の洗練度と効果、および活動の規模を大幅に拡大させてきました。
マイクロソフト脅威インテリジェンスは、「Sapphire Sleet」として知られるハッカーチームを特定しました。これは、暗号通貨の窃盗や企業浸透に深く関与している北朝鮮の脅威グループです。"Sleet"という用語は、このグループの北朝鮮との関係を示しています。
Lazarus Groupはどのようにして運営されていますか?
国の後援により、Lazarusグループはリソースと専門知識を有しています複雑なサイバー攻撃を実行する. それは、カスタムマルウェアの開発と展開、およびゼロデイ脆弱性の悪用を含む、多層の操作を実行します。 「ゼロデイ脆弱性」という用語は、開発者に知られていないソフトウェアやハードウェアのセキュリティの隙間を指します。 これは、それに対する修正策も準備もないことを意味します。
Lazarus Groupの特徴は、MagicRATやQuiteRATなどのカスタムメイドのマルウェアを作成し、特定のシステムに侵入して制御することです。彼らは以前には知られていなかったセキュリティの欠陥を利用してシステムに侵入し、パッチが利用可能になる前にシステムを侵害することでも知られています。
ソーシャルエンジニアリングは彼らの戦略のもう一つの重要な要素です。ハッカーが感情を利用してユーザーをだますこと、そしてそれによって特定の行動(例:重要なデータの共有など)をさせることです。ラザラス・グループはスピアフィッシングキャンペーン, 詐欺メールを送信し、無疑の個人を装って彼らに機密情報を明かさせるよう誘導する
彼らの適応性と進化する技術Lazarus Groupをグローバルサイバーセキュリティの世界で持続的かつ強力な脅威とする。
Lazarus Groupによる最高の強奪
これまでに、Lazarus Groupに関与するさまざまなサイバー攻撃が発生してきました。以下は、グループによって実行されたいくつかの重要な強奪事件です。
暗号通貨の窃盗
1. バイビット(2025年2月)
Bybit、ドバイに拠点を置く仮想通貨取引所、大規模なセキュリティ侵害を受けました, 2025年2月にデジタル資産15億ドルを失い、これまでで最も重大な暗号資産強奪事件となりました。
攻撃は、詐欺取引を実行するためにバイビットの幹部が使用するSafeWalletインターフェースを標的としました。盗まれた資金は主にイーサリアムであり、迅速に複数のウォレットに分散されました。異なるプラットフォームを通じて清算されましたBybitのCEO、Ben Zhou氏は、他の冷たいウォレットは安全であり、出金は通常通りに稼働していることをユーザーに保証しました。
ブロックチェーン分析企業であるエリプティックやアーカム・インテリジェンスを含む企業は、盗まれた資産を追跡し、後に攻撃を北朝鮮の国家支援を受けたラザラス・グループに帰属させました。この侵害により、バイビットからの大量の引き出しが発生し、取引所は損失をカバーするための橋融資を確保しました。
2. WazirX(2024年7月)
2024年7月、インド最大の暗号通貨取引所であるWazirXは、約2億3490万ドル相当のデジタル資産を失う大規模なセキュリティ侵害に見舞われました。この攻撃は、北朝鮮のラザラス・グループによるものとされ、高度なフィッシング技術とAPIの悪用が絡んでいます。
ハッカーは、WazirXのマルチサインウォレットシステムを操作し、ホットウォレットとコールドウォレットの両方に不正アクセスを得ました。この侵害により、取引活動が一時停止され、CoinSwitchのライバル取引所からの訴訟を含む法的な問題が促され、閉じ込められた資金の965万ドルを回収しようとするものでした。
2025年1月、シンガポール高等裁判所は、WazirXのリストラ計画を承認し、債権者と資産回収戦略を協議するために会社が会合することを可能にしました。
3. Stake.com(2023年9月)
2023年9月、グループは暗号通貨の賭博プラットフォームであるStake.comを侵害し、盗まれた情報を入手して利用しましたプライベートキー. これにより、彼らはさまざまなブロックチェーンネットワークを通じて4100万ドルを横領することができました。
米国FBIattributedこの盗難は、APT38としても知られるLazarus Groupに帰属されています。盗まれた資産は、Ethereum、BNB Smart Chain、Polygonを含む複数のブロックチェーンネットワークを跨いで追跡されました。
4. CoinEx(2023年9月)
2023年9月に、世界的な仮想通貨取引所であるCoinExが、推定5400万ドルの損失をもたらす不正取引を報告しました。
ブロックチェーンアナリストによる調査、オンチェーンアナリストのZachXBTを含むリベールドウォレットパターンとオンチェーンの行動この侵害を以前のStake.comハックにリンクし、Lazarus Groupによる協調努力を示唆しています。
5. CoinsPaidとAlphapo(2023年7月)
2023年7月22日、CoinsPaidは慎重に計画されたサイバー攻撃に遭い、3730万ドルの盗難事件が発生しました。攻撃者は、侵害の直前の数ヶ月間に、決定的な企業の人員を標的に賄賂や偽の採用キャンペーンを行う戦略を採用しました。
攻撃中、150,000を超える異なるIPアドレスが関与している異常なネットワークアクティビティの急増が観察されました。 かなりの財務上の損失にもかかわらず、CoinsPaidの内部チームはシステムを強化するために熱心に取り組み、クライアントの資金が影響を受けずに完全に利用可能であることを確認しました。
同じ日、さまざまなオンラインプラットフォーム向けの中央集権型暗号通貨決済プロバイダーであるAlphapoは、2023年7月23日にセキュリティ侵害を受けました。初期の報告では損失額は約2300万ドルと推定されていましたが、さらなる調査で盗まれた総額は6000万ドルを超えることが判明しました。ブロックチェーンのアナリストは、この攻撃をLazarus Groupに帰属させ、盗まれた資金が複数のアドレスとチェーンを横断して追跡されたと述べています。
6. Harmony Horizon Bridge(2022年6月)
ラザラス・グループは2022年6月にHarmonyのHorizon Bridgeの脆弱性を悪用しました。ソーシャルエンジニアリングとマルチシグウォレットの侵害を通じて、彼らは1億ドルを持ち逃げし、イーサリアム、ビットコイン、BNBスマートチェーンなどのネットワーク間で資産の移転を容易にするクロスチェーンブリッジに関連するリスクを浮き彫りにしました。
攻撃者は、取引を承認するために使用されたマルチシグネチャウォレットを支配するセキュリティの脆弱性を悪用しました。この侵害により、彼らはさまざまな暗号通貨で約1億ドルを持ち逃げすることができました。盗まれた資産は、追跡の努力を複雑にするTornado Cashミキサーを通じて洗浄されました。Ellipticは、最初にこの攻撃をLazarus Groupに帰属させた最初の企業の1つであり、この評価は後に2023年1月にFBIによって確認されました。
7. Ronin ブリッジ(2022年3月)
2022年3月、ローニンブリッジ、クロスチェーンブリッジAxie Infinityゲームをサポートしています、重大なセキュリティ侵害を受けましたLazarus Groupによる手口により、約625億ドル相当の暗号通貨が盗まれました。
ロニンネットワークは、少なくとも5つの署名を必要とする9つのバリデーターで運営されていました。攻撃者は5つの秘密鍵の制御を取得し、不正な引き出しを承認することができるようになりました。
ハッカーたちは、詐欺の求人オファーでSky Mavisの従業員をおびき出し、マルウェアに感染したPDFを提供し、企業の内部システムを侵害しました。このアクセスにより、攻撃者はネットワーク内で横断移動し、Sky Mavisが運営する4つのバリデータとAxieが管理する追加のバリデータの制御を奪取しました。DAO (分散型自律組織).
グループは、社会工学と技術力を組み合わせて、ローニンブリッジハックを実行しました。
8. Atomic Wallet (2022)
2022年にわたって、分散型暗号通貨ストレージアプリケーションであるAtomic Walletのユーザーが、Lazarus Groupによって仕組まれた一連の攻撃の被害に遭いました。
ハッカーたちは、個々のウォレットを侵害するためにカスタムマルウェアを展開し、推定で3,500万ドルから1億ドルの損失が発生しました。Ellipticは、盗まれた資金の移動を追跡し、グループの以前の活動と一致する資金洗浄パターンを特定することで、これらの侵害をLazarus Groupに関連付けました。
9. Bithumb Exchange (July 2017)
2017年7月、Lazarus Groupは、韓国最大の仮想通貨取引所の1つであるBithumbにスピアフィッシング攻撃を実行しました。
取引所の内部システムに侵入することで、彼らは約700万ドル相当の暗号通貨を盗むことに成功しました。この事件は、グループの初期の重要な侵入の1つを示すものでした。
10. Youbit Exchange(2017年4月および12月)
Lazarus Groupは2017年に韓国のYoubit取引所に対して2度の重大な攻撃を行いました。4月の最初の攻撃では、マルウェアとフィッシング技術が使用され、取引所のセキュリティが危機にさらされ、相当な資産損失を引き起こしました。
その後の攻撃は12月に起こり、Youbitの総資産の17%の損失をもたらしました。連続した侵害からの財務的な圧力により、取引所は破産に追い込まれ、このグループのサイバー活動がデジタル資産プラットフォームに与える深刻な影響が明らかになりました。
北朝鮮は、AIによるプロフィールや盗まれた身元を利用して、ロシアや中国など世界中で何千人ものIT労働者を配置し、収益を上げています。これにより、知的財産を盗んだり、雇用主を脅迫したりして、体制に資金を送金しています。
その他の主要な強奪
1. WannaCry (May 2017)
ザ・ワナクライランサムウェア攻撃2017年5月12日、WannaCryランサムウェアワームが150カ国以上で200,000台以上のコンピューターに感染し、FedEx、Honda、Nissan、英国国民保健サービス(NHS)などの主要被害者が影響を受け、救急車のルートがシステムの混乱のために変更される事態となりました。
セキュリティ研究者が攻撃を一時停止する「キルスイッチ」を発見しました。しかし、多くのシステムは、被害者が身代金を支払うか、データを復元する方法を見つけるまでロックされたままでした。WannaCryは、「EternalBlue」と呼ばれる脆弱性を悪用しており、これは元々米国国家安全保障局(NSA)によって開発されたエクスプロイトです。
この脆弱性は後にシャドウ・ブローカーズによって盗まれ、漏洩されました。WannaCryは主に古い、未修正のMicrosoft Windowsシステムを標的にしており、それによって迅速に拡散し、広範囲な被害をもたらしました。この攻撃は定期的なソフトウェアのアップデートとサイバーセキュリティ意識の重要性を浮き彫りにしました。
2. バングラデシュ銀行(2016年2月)
2016年2月、バングラデシュ銀行は重大なサイバー強盗を経験し、攻撃者はニューヨーク連邦準備銀行の口座から約10億ドルを盗もうとしました。後にラザラス・グループと特定された犯人たちは、2015年1月に銀行のシステムに悪意のあるメール添付ファイルを介して侵入しました。彼らは銀行の運営を研究し、最終的にSWIFTネットワークを介して35件の不正送金依頼を開始しました。
ほとんどがブロックされましたが、合計101百万ドルの5つの取引が成功し、うち81百万ドルがフィリピンの口座に届きました。1つの送金依頼に誤字があり、疑念を呼び起こし、完全な強奪を防ぎました。
3. ソニー・ピクチャーズ(2014年11月)
2014年11月、ソニー・ピクチャーズ・エンタテインメントは、ラザラス・グループとつながりのある平和の守護者による重大なサイバー攻撃に遭いました。攻撃者はソニーのネットワークに侵入し、未公開の映画、機密情報、内部コミュニケーションなど、膨大なデータにアクセスしました。
グループはまた、マルウェアを展開し、ソニーのコンピューターの約70%を使用不能にしました。侵害による金融損害は莫大で、ソニーが1500万ドルの損失を報告していますが、他の見積もりでは回復コストが8500万ドルを超えた可能性もあります。
攻撃の動機は、ソニーが北朝鮮の指導者キム・ジョンウン暗殺を描いたコメディ映画「The Interview」の公開を計画していたため、報復だった。
北朝鮮が関与を否定しているにもかかわらず、米国政府は公式にこの攻撃を北朝鮮の脅威行為者に帰属し、ラザラス・グループが洗練されたサイバー作戦を実行し、重要な地政学的影響を持つ能力を強調した。
2024年8月、ZachXBTが、北朝鮮の開発者21人が暗号スタートアップに潜入し、月額50万ドルを稼いでいたことを明らかにしました。
FBIは、主要なサイバー攻撃の背後にいるLazarus Groupの主要なハッカーを特定しました
FBIは、3人の北朝鮮のハッカーをLazarus Groupのメンバーとして公に特定しました。
2018年9月、FBIは、レザラスに関連する北朝鮮人の朴鎭赫(パク・ジンヒョク)に、主要なサイバー攻撃での役割を理由として告発しました。 朴氏は、北朝鮮のフロント企業である朝鮮博覧合弁会社で働いていたと報告されており、2014年のソニー・ピクチャーズのハッキング事件や2016年のバングラデシュ銀行の強盗事件に関連しており、8100万ドルが盗まれた。
FBIは、パークが2017年のWannaCry 2.0ランサムウェア攻撃との関連で非難されていることも明らかにしています。この攻撃により、英国のNHSを含む病院が混乱しました。捜査官は、共有されたマルウェアコード、盗まれた資格情報ストレージ、北朝鮮と中国のIPを隠すためのプロキシサービスを通じて彼と彼の仲間を辿りました。
2021年2月、米国司法省は、グローバルサイバー犯罪への関与を理由に、Jon Chang Hyok氏とKim Il氏を起訴しました。Jon氏は金融機関に浸透するために悪意のある暗号アプリケーションを開発・拡散し、一方、Kim氏はマルウェアの配布、暗号強奪、詐欺的なMarine Chainの初回コイン公開を調整しました。
Lazarus Group が使用する一般的な戦術
The Lazarus Groupは、妨害、誤誘導、アンチフォレンジック、保護技術を含む、いくつかの洗練された戦術を使用してサイバー攻撃を行っています。
混乱
Lazarusは、を使用して破壊的な攻撃を実施しています分散サービス妨害(DDoS)そして、時間ベースのトリガーを持つワイパーマルウェア。 たとえば、トロイの木馬KILLMBRは、指定された日付に対象システム上のデータを消去します。一方、マルウェアであるQDDOSは、感染後にファイルを消去します。別のツールDESTOVERはバックドアとして機能しますが、消去機能も備えています。これらの戦術はシステムを麻痺させ、運用不能にします。
誤誘導
Lazarusは、関与を隠すために、一部の攻撃を「GOP」「WhoAmI」「New Romanic Army」といった架空のグループの仕業と偽装しています。これらのグループは攻撃の責任を主張しますが、実際にはLazarusがゲームの裏で動いています。彼らはプロパガンダを使ってウェブサイトを改ざんするかもしれません。また、Lazarusは、KLIPODバックドアでローマ字化されたロシア語の単語を使用するなど、そのマルウェアに偽の手がかりを組み込んでいます。
バックドア
Lazarusは、侵害されたシステムへの持続的なアクセスにバックドアを依存し、フィッシングキャンペーンでManuscrypt(NukeSped)バックドアなどのツールを展開し、防衛ターゲットに対してBLINDINGCANおよびCOPPERHEDGEインプラントを使用しています。
反捜査技術
彼らの足跡を隠すために、Lazarusはいくつかのアンチフォレンジック技術を使用しています。
- コンポーネントの分離:ラザルスのBluenoroffサブグループに関連する操作では、マルウェアのコンポーネントを分割して解析を妨げます。
- コマンドラインツール:多くの攻撃は、特定の引数を必要とするコマンドラインバックドアやインストーラに依存しています。たとえば、Nesteggフレームワークのインストーラは、引数としてパスワードを必要とします。
- ウィパー:ラザロスは、作戦が完了した後に攻撃の証拠を消去するためにウィパーを使用します。一部のBluenoroff作戦でDESTOVERサンプルが見られました。
- ログと記録の削除:Lazarusは、予備読み込みデータ、イベントログ、およびマスターファイルテーブル(MFT)レコードを削除して、法医学的証拠を取り除きます。
これらの技術を組み合わせることで、Lazarusは効果的に標的を混乱させ、帰属の努力を誤解し、自らの活動を隠蔽します。
Lazarus Group攻撃に対抗する方法
Lazarus Groupによる脅威への防御には包括的なセキュリティ戦略が必要です。組織は、洗練されたサイバー攻撃からデジタル資産を保護するために複数の保護層を実装する必要があります。
重要な防衛措置には、採用する必要があるキーが含まれます。
- DDoS保護:組織は、サービスの中断や潜在的なデータ侵害を防ぐために堅牢な緩和策を展開すべきです。このような攻撃を予防的に特定し、無力化することは重要です。
- 脅威インテリジェンス:脅威インテリジェンスを活用すると、ランサムウェアやDDoS攻撃を含むサイバー脅威を検出し、対応することができます。ラザロスが自らのオペレーションを行う際に使用する進化する戦術について情報を入手する必要があります。
- 資産保護: 金融機関、仮想通貨取引所、および他の高価値標的は、ラザラスの攻撃から重要なデジタル資産を保護する必要があります。 SWIFTシステムのエンドポイント、ATM、および銀行インフラの保護が重要です。
- 持続的な脅威モニタリング:ネットワークインフラの継続的な監視は、潜在的な侵入を検出し軽減するために必要です。セキュリティチームは、すべてのシステムが最新のパッチで定期的に更新されるようにする必要があります。
- マルチレイヤーセキュリティソリューション:行動解析、機械学習、エクスプロイト保護を組み込んだ高度なセキュリティソリューションなど、ターゲット型攻撃に対する防御力を強化します。サンドボックス統合やランサムウェア保護機能を備えたツールは、セキュリティの追加レイヤーを提供します。
- リアルタイム保護:複雑な攻撃に対処する際には、ターゲット型攻撃に対するリアルタイム保護が必要です。クロス世代技術を使用してネットワーク内のどこでもターゲット型攻撃を検出し、適切な技術を適切なタイミングで適用できる必要があります。
しかしながら、技術は急速に発展する分野であり、ハッカーは新しい脅威ベクトルを開発し続けるため、個人や組織は積極的であり続け、新興脅威を継続的に監視すべきです。
暗号化応用の第一線である専門家であるビル・ブキャナン教授強調「サイバーセキュリティに大規模な投資が必要です。さもないと、ジョージ・オーウェルの『1984年』で描かれるような世界や機械に支配される世界になってしまいます。」
この声明は、サイバーセキュリティの無視の深刻な影響と、保護策への継続的な投資の必要性を強調しています。
Remember、そのような洗練された脅威行為者に対する戦いは単一の防御ではなく、予防、検出、迅速な対応を含む継続的な戦略の一つであることを忘れないでください。
最終的に、Lazarus Groupに対抗するには、用心深さ、高度なセキュリティツール、組織的な改善へのコミットメントが必要です。これらの集合的な努力を通じてのみ、企業や機関は資産を保護し、信頼を維持し、サイバー犯罪者の一歩先を行くことができます。
免責事項:
- この記事は[から転載されましたCoinTelegraph]. すべての著作権は元の著者に帰属します [Dilip Kumar Patairya]. If there are objections to this reprint, please contact the Gate Learnチームが迅速に対応します。
- 責任の免除:この記事で表現されている見解や意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
- Gate Learnチームによって、記事の翻訳が行われています。特に記載がない限り、翻訳された記事のコピー、配布、または盗作は禁止されています。
Статьи по теме
ステーブルコインとは何ですか?
Cotiとは? COTIについて知っておくべきことすべて
レイザス・グループとは何ですか?数十億ドルの強奪事件の背後にいるハッカーたちです
キーポイント
Lazarus Groupの起源と背景
Lazarus Groupはどのように運営されていますか?
Lazarus Groupによるトップ強盗
FBIは、主要なサイバー攻撃の背後にあるLazarus Groupの主要なハッカーを特定しました
ラザロス・グループが使用する一般的な戦術
Lazarus Groupの攻撃に対抗する方法
詐欺とハッキング
主なポイント
- ラザラス・グループは、10億ドル規模のサイバー強盗を担当する、北朝鮮国家支援のハッカーチームです。彼らの活動資金は、国のミサイルおよび核プログラムを支えています。
- Lazarusは、金融機関、暗号通貨取引所、政府機関に侵入するためにカスタムマルウェア、ゼロデイの脆弱性、スピアフィッシングキャンペーンを使用しています。
- 注目すべき攻撃には、$1.5十億のBybitハック(2025年)、$625百万のRonin Bridge侵害(2022年)、および$101百万のバングラデシュ銀行強盗(2016年)が含まれています。
- グループは、彼らの足跡を隠し、侵害されたネットワークへの長期的なアクセスを維持するために、誤誘導、バックドア、アンチフォレンジック技術、ワイパーを使用しています。
2025年2月21日のBybit暗号攻撃は、再び悪名高いLazarusグループにスポットライトを当てました。これまでに、Lazarusグループは暗号ビジネスへの壊滅的な攻撃の連続を“功績”として$60億を盗み出しました。2017年以来、によるとto blockchain analytics firm Elliptic. No wonder Lazarus has earned the title of the supervillain in crypto.
史上最も多産なサイバー犯罪組織の1つとして、Lazarus Groupは使用します高度なハッキング戦術そしてしばしば白襟の一線作業員であり、全面的な国家の支援を示しています。
これにより、Lazarus Groupに関する重要な問題、複雑なBybit攻撃の実行、および他の類似したハック、そして暗号組織がこの増加している脅威と戦う方法についての重要な問題が浮かび上がります。この記事では、これらの問題などについて探っていきます。
Lazarus Groupの起源と背景
ラザラス・グループは、サイバー諜報活動や資金の流出で悪名高い、民主主義人民共和国(DPRK)または北朝鮮を拠点とする脅威として知られる行為者です。
2009年から活動しており、北朝鮮政府の偵察総局(RGB)、同国の主要な情報機関と関係しています。この高度な持続的脅威(APT)グループは、金融機関に対する高度なクロスプラットフォーム攻撃で知られています。暗号通貨取引所, SWIFTシステムのエンドポイント、カジノ、世界中のATM。
グループと国家の情報機関とのつながりは、国の支援を示唆しています。ハッカーたちは悪質な活動に対する国の庇護を受けており、それは地元の法執行機関を恐れることなく活動できることを意味しています。彼らの活動は、情報収集だけでなく、国のミサイルおよび核プログラムの資金調達も目的としています。
米国連邦捜査局(FBI)は、ラザラス・グループを北朝鮮の「国家支援ハッキング組織」と呼んでいます。北朝鮮の亡命者である金国成は、その部隊が北朝鮮内で414連絡事務所として知られていると明かしました。
これまでの数年間、Lazarusグループは、その戦術の洗練度と効果、および活動の規模を大幅に拡大させてきました。
マイクロソフト脅威インテリジェンスは、「Sapphire Sleet」として知られるハッカーチームを特定しました。これは、暗号通貨の窃盗や企業浸透に深く関与している北朝鮮の脅威グループです。"Sleet"という用語は、このグループの北朝鮮との関係を示しています。
Lazarus Groupはどのようにして運営されていますか?
国の後援により、Lazarusグループはリソースと専門知識を有しています複雑なサイバー攻撃を実行する. それは、カスタムマルウェアの開発と展開、およびゼロデイ脆弱性の悪用を含む、多層の操作を実行します。 「ゼロデイ脆弱性」という用語は、開発者に知られていないソフトウェアやハードウェアのセキュリティの隙間を指します。 これは、それに対する修正策も準備もないことを意味します。
Lazarus Groupの特徴は、MagicRATやQuiteRATなどのカスタムメイドのマルウェアを作成し、特定のシステムに侵入して制御することです。彼らは以前には知られていなかったセキュリティの欠陥を利用してシステムに侵入し、パッチが利用可能になる前にシステムを侵害することでも知られています。
ソーシャルエンジニアリングは彼らの戦略のもう一つの重要な要素です。ハッカーが感情を利用してユーザーをだますこと、そしてそれによって特定の行動(例:重要なデータの共有など)をさせることです。ラザラス・グループはスピアフィッシングキャンペーン, 詐欺メールを送信し、無疑の個人を装って彼らに機密情報を明かさせるよう誘導する
彼らの適応性と進化する技術Lazarus Groupをグローバルサイバーセキュリティの世界で持続的かつ強力な脅威とする。
Lazarus Groupによる最高の強奪
これまでに、Lazarus Groupに関与するさまざまなサイバー攻撃が発生してきました。以下は、グループによって実行されたいくつかの重要な強奪事件です。
暗号通貨の窃盗
1. バイビット(2025年2月)
Bybit、ドバイに拠点を置く仮想通貨取引所、大規模なセキュリティ侵害を受けました, 2025年2月にデジタル資産15億ドルを失い、これまでで最も重大な暗号資産強奪事件となりました。
攻撃は、詐欺取引を実行するためにバイビットの幹部が使用するSafeWalletインターフェースを標的としました。盗まれた資金は主にイーサリアムであり、迅速に複数のウォレットに分散されました。異なるプラットフォームを通じて清算されましたBybitのCEO、Ben Zhou氏は、他の冷たいウォレットは安全であり、出金は通常通りに稼働していることをユーザーに保証しました。
ブロックチェーン分析企業であるエリプティックやアーカム・インテリジェンスを含む企業は、盗まれた資産を追跡し、後に攻撃を北朝鮮の国家支援を受けたラザラス・グループに帰属させました。この侵害により、バイビットからの大量の引き出しが発生し、取引所は損失をカバーするための橋融資を確保しました。
2. WazirX(2024年7月)
2024年7月、インド最大の暗号通貨取引所であるWazirXは、約2億3490万ドル相当のデジタル資産を失う大規模なセキュリティ侵害に見舞われました。この攻撃は、北朝鮮のラザラス・グループによるものとされ、高度なフィッシング技術とAPIの悪用が絡んでいます。
ハッカーは、WazirXのマルチサインウォレットシステムを操作し、ホットウォレットとコールドウォレットの両方に不正アクセスを得ました。この侵害により、取引活動が一時停止され、CoinSwitchのライバル取引所からの訴訟を含む法的な問題が促され、閉じ込められた資金の965万ドルを回収しようとするものでした。
2025年1月、シンガポール高等裁判所は、WazirXのリストラ計画を承認し、債権者と資産回収戦略を協議するために会社が会合することを可能にしました。
3. Stake.com(2023年9月)
2023年9月、グループは暗号通貨の賭博プラットフォームであるStake.comを侵害し、盗まれた情報を入手して利用しましたプライベートキー. これにより、彼らはさまざまなブロックチェーンネットワークを通じて4100万ドルを横領することができました。
米国FBIattributedこの盗難は、APT38としても知られるLazarus Groupに帰属されています。盗まれた資産は、Ethereum、BNB Smart Chain、Polygonを含む複数のブロックチェーンネットワークを跨いで追跡されました。
4. CoinEx(2023年9月)
2023年9月に、世界的な仮想通貨取引所であるCoinExが、推定5400万ドルの損失をもたらす不正取引を報告しました。
ブロックチェーンアナリストによる調査、オンチェーンアナリストのZachXBTを含むリベールドウォレットパターンとオンチェーンの行動この侵害を以前のStake.comハックにリンクし、Lazarus Groupによる協調努力を示唆しています。
5. CoinsPaidとAlphapo(2023年7月)
2023年7月22日、CoinsPaidは慎重に計画されたサイバー攻撃に遭い、3730万ドルの盗難事件が発生しました。攻撃者は、侵害の直前の数ヶ月間に、決定的な企業の人員を標的に賄賂や偽の採用キャンペーンを行う戦略を採用しました。
攻撃中、150,000を超える異なるIPアドレスが関与している異常なネットワークアクティビティの急増が観察されました。 かなりの財務上の損失にもかかわらず、CoinsPaidの内部チームはシステムを強化するために熱心に取り組み、クライアントの資金が影響を受けずに完全に利用可能であることを確認しました。
同じ日、さまざまなオンラインプラットフォーム向けの中央集権型暗号通貨決済プロバイダーであるAlphapoは、2023年7月23日にセキュリティ侵害を受けました。初期の報告では損失額は約2300万ドルと推定されていましたが、さらなる調査で盗まれた総額は6000万ドルを超えることが判明しました。ブロックチェーンのアナリストは、この攻撃をLazarus Groupに帰属させ、盗まれた資金が複数のアドレスとチェーンを横断して追跡されたと述べています。
6. Harmony Horizon Bridge(2022年6月)
ラザラス・グループは2022年6月にHarmonyのHorizon Bridgeの脆弱性を悪用しました。ソーシャルエンジニアリングとマルチシグウォレットの侵害を通じて、彼らは1億ドルを持ち逃げし、イーサリアム、ビットコイン、BNBスマートチェーンなどのネットワーク間で資産の移転を容易にするクロスチェーンブリッジに関連するリスクを浮き彫りにしました。
攻撃者は、取引を承認するために使用されたマルチシグネチャウォレットを支配するセキュリティの脆弱性を悪用しました。この侵害により、彼らはさまざまな暗号通貨で約1億ドルを持ち逃げすることができました。盗まれた資産は、追跡の努力を複雑にするTornado Cashミキサーを通じて洗浄されました。Ellipticは、最初にこの攻撃をLazarus Groupに帰属させた最初の企業の1つであり、この評価は後に2023年1月にFBIによって確認されました。
7. Ronin ブリッジ(2022年3月)
2022年3月、ローニンブリッジ、クロスチェーンブリッジAxie Infinityゲームをサポートしています、重大なセキュリティ侵害を受けましたLazarus Groupによる手口により、約625億ドル相当の暗号通貨が盗まれました。
ロニンネットワークは、少なくとも5つの署名を必要とする9つのバリデーターで運営されていました。攻撃者は5つの秘密鍵の制御を取得し、不正な引き出しを承認することができるようになりました。
ハッカーたちは、詐欺の求人オファーでSky Mavisの従業員をおびき出し、マルウェアに感染したPDFを提供し、企業の内部システムを侵害しました。このアクセスにより、攻撃者はネットワーク内で横断移動し、Sky Mavisが運営する4つのバリデータとAxieが管理する追加のバリデータの制御を奪取しました。DAO (分散型自律組織).
グループは、社会工学と技術力を組み合わせて、ローニンブリッジハックを実行しました。
8. Atomic Wallet (2022)
2022年にわたって、分散型暗号通貨ストレージアプリケーションであるAtomic Walletのユーザーが、Lazarus Groupによって仕組まれた一連の攻撃の被害に遭いました。
ハッカーたちは、個々のウォレットを侵害するためにカスタムマルウェアを展開し、推定で3,500万ドルから1億ドルの損失が発生しました。Ellipticは、盗まれた資金の移動を追跡し、グループの以前の活動と一致する資金洗浄パターンを特定することで、これらの侵害をLazarus Groupに関連付けました。
9. Bithumb Exchange (July 2017)
2017年7月、Lazarus Groupは、韓国最大の仮想通貨取引所の1つであるBithumbにスピアフィッシング攻撃を実行しました。
取引所の内部システムに侵入することで、彼らは約700万ドル相当の暗号通貨を盗むことに成功しました。この事件は、グループの初期の重要な侵入の1つを示すものでした。
10. Youbit Exchange(2017年4月および12月)
Lazarus Groupは2017年に韓国のYoubit取引所に対して2度の重大な攻撃を行いました。4月の最初の攻撃では、マルウェアとフィッシング技術が使用され、取引所のセキュリティが危機にさらされ、相当な資産損失を引き起こしました。
その後の攻撃は12月に起こり、Youbitの総資産の17%の損失をもたらしました。連続した侵害からの財務的な圧力により、取引所は破産に追い込まれ、このグループのサイバー活動がデジタル資産プラットフォームに与える深刻な影響が明らかになりました。
北朝鮮は、AIによるプロフィールや盗まれた身元を利用して、ロシアや中国など世界中で何千人ものIT労働者を配置し、収益を上げています。これにより、知的財産を盗んだり、雇用主を脅迫したりして、体制に資金を送金しています。
その他の主要な強奪
1. WannaCry (May 2017)
ザ・ワナクライランサムウェア攻撃2017年5月12日、WannaCryランサムウェアワームが150カ国以上で200,000台以上のコンピューターに感染し、FedEx、Honda、Nissan、英国国民保健サービス(NHS)などの主要被害者が影響を受け、救急車のルートがシステムの混乱のために変更される事態となりました。
セキュリティ研究者が攻撃を一時停止する「キルスイッチ」を発見しました。しかし、多くのシステムは、被害者が身代金を支払うか、データを復元する方法を見つけるまでロックされたままでした。WannaCryは、「EternalBlue」と呼ばれる脆弱性を悪用しており、これは元々米国国家安全保障局(NSA)によって開発されたエクスプロイトです。
この脆弱性は後にシャドウ・ブローカーズによって盗まれ、漏洩されました。WannaCryは主に古い、未修正のMicrosoft Windowsシステムを標的にしており、それによって迅速に拡散し、広範囲な被害をもたらしました。この攻撃は定期的なソフトウェアのアップデートとサイバーセキュリティ意識の重要性を浮き彫りにしました。
2. バングラデシュ銀行(2016年2月)
2016年2月、バングラデシュ銀行は重大なサイバー強盗を経験し、攻撃者はニューヨーク連邦準備銀行の口座から約10億ドルを盗もうとしました。後にラザラス・グループと特定された犯人たちは、2015年1月に銀行のシステムに悪意のあるメール添付ファイルを介して侵入しました。彼らは銀行の運営を研究し、最終的にSWIFTネットワークを介して35件の不正送金依頼を開始しました。
ほとんどがブロックされましたが、合計101百万ドルの5つの取引が成功し、うち81百万ドルがフィリピンの口座に届きました。1つの送金依頼に誤字があり、疑念を呼び起こし、完全な強奪を防ぎました。
3. ソニー・ピクチャーズ(2014年11月)
2014年11月、ソニー・ピクチャーズ・エンタテインメントは、ラザラス・グループとつながりのある平和の守護者による重大なサイバー攻撃に遭いました。攻撃者はソニーのネットワークに侵入し、未公開の映画、機密情報、内部コミュニケーションなど、膨大なデータにアクセスしました。
グループはまた、マルウェアを展開し、ソニーのコンピューターの約70%を使用不能にしました。侵害による金融損害は莫大で、ソニーが1500万ドルの損失を報告していますが、他の見積もりでは回復コストが8500万ドルを超えた可能性もあります。
攻撃の動機は、ソニーが北朝鮮の指導者キム・ジョンウン暗殺を描いたコメディ映画「The Interview」の公開を計画していたため、報復だった。
北朝鮮が関与を否定しているにもかかわらず、米国政府は公式にこの攻撃を北朝鮮の脅威行為者に帰属し、ラザラス・グループが洗練されたサイバー作戦を実行し、重要な地政学的影響を持つ能力を強調した。
2024年8月、ZachXBTが、北朝鮮の開発者21人が暗号スタートアップに潜入し、月額50万ドルを稼いでいたことを明らかにしました。
FBIは、主要なサイバー攻撃の背後にいるLazarus Groupの主要なハッカーを特定しました
FBIは、3人の北朝鮮のハッカーをLazarus Groupのメンバーとして公に特定しました。
2018年9月、FBIは、レザラスに関連する北朝鮮人の朴鎭赫(パク・ジンヒョク)に、主要なサイバー攻撃での役割を理由として告発しました。 朴氏は、北朝鮮のフロント企業である朝鮮博覧合弁会社で働いていたと報告されており、2014年のソニー・ピクチャーズのハッキング事件や2016年のバングラデシュ銀行の強盗事件に関連しており、8100万ドルが盗まれた。
FBIは、パークが2017年のWannaCry 2.0ランサムウェア攻撃との関連で非難されていることも明らかにしています。この攻撃により、英国のNHSを含む病院が混乱しました。捜査官は、共有されたマルウェアコード、盗まれた資格情報ストレージ、北朝鮮と中国のIPを隠すためのプロキシサービスを通じて彼と彼の仲間を辿りました。
2021年2月、米国司法省は、グローバルサイバー犯罪への関与を理由に、Jon Chang Hyok氏とKim Il氏を起訴しました。Jon氏は金融機関に浸透するために悪意のある暗号アプリケーションを開発・拡散し、一方、Kim氏はマルウェアの配布、暗号強奪、詐欺的なMarine Chainの初回コイン公開を調整しました。
Lazarus Group が使用する一般的な戦術
The Lazarus Groupは、妨害、誤誘導、アンチフォレンジック、保護技術を含む、いくつかの洗練された戦術を使用してサイバー攻撃を行っています。
混乱
Lazarusは、を使用して破壊的な攻撃を実施しています分散サービス妨害(DDoS)そして、時間ベースのトリガーを持つワイパーマルウェア。 たとえば、トロイの木馬KILLMBRは、指定された日付に対象システム上のデータを消去します。一方、マルウェアであるQDDOSは、感染後にファイルを消去します。別のツールDESTOVERはバックドアとして機能しますが、消去機能も備えています。これらの戦術はシステムを麻痺させ、運用不能にします。
誤誘導
Lazarusは、関与を隠すために、一部の攻撃を「GOP」「WhoAmI」「New Romanic Army」といった架空のグループの仕業と偽装しています。これらのグループは攻撃の責任を主張しますが、実際にはLazarusがゲームの裏で動いています。彼らはプロパガンダを使ってウェブサイトを改ざんするかもしれません。また、Lazarusは、KLIPODバックドアでローマ字化されたロシア語の単語を使用するなど、そのマルウェアに偽の手がかりを組み込んでいます。
バックドア
Lazarusは、侵害されたシステムへの持続的なアクセスにバックドアを依存し、フィッシングキャンペーンでManuscrypt(NukeSped)バックドアなどのツールを展開し、防衛ターゲットに対してBLINDINGCANおよびCOPPERHEDGEインプラントを使用しています。
反捜査技術
彼らの足跡を隠すために、Lazarusはいくつかのアンチフォレンジック技術を使用しています。
- コンポーネントの分離:ラザルスのBluenoroffサブグループに関連する操作では、マルウェアのコンポーネントを分割して解析を妨げます。
- コマンドラインツール:多くの攻撃は、特定の引数を必要とするコマンドラインバックドアやインストーラに依存しています。たとえば、Nesteggフレームワークのインストーラは、引数としてパスワードを必要とします。
- ウィパー:ラザロスは、作戦が完了した後に攻撃の証拠を消去するためにウィパーを使用します。一部のBluenoroff作戦でDESTOVERサンプルが見られました。
- ログと記録の削除:Lazarusは、予備読み込みデータ、イベントログ、およびマスターファイルテーブル(MFT)レコードを削除して、法医学的証拠を取り除きます。
これらの技術を組み合わせることで、Lazarusは効果的に標的を混乱させ、帰属の努力を誤解し、自らの活動を隠蔽します。
Lazarus Group攻撃に対抗する方法
Lazarus Groupによる脅威への防御には包括的なセキュリティ戦略が必要です。組織は、洗練されたサイバー攻撃からデジタル資産を保護するために複数の保護層を実装する必要があります。
重要な防衛措置には、採用する必要があるキーが含まれます。
- DDoS保護:組織は、サービスの中断や潜在的なデータ侵害を防ぐために堅牢な緩和策を展開すべきです。このような攻撃を予防的に特定し、無力化することは重要です。
- 脅威インテリジェンス:脅威インテリジェンスを活用すると、ランサムウェアやDDoS攻撃を含むサイバー脅威を検出し、対応することができます。ラザロスが自らのオペレーションを行う際に使用する進化する戦術について情報を入手する必要があります。
- 資産保護: 金融機関、仮想通貨取引所、および他の高価値標的は、ラザラスの攻撃から重要なデジタル資産を保護する必要があります。 SWIFTシステムのエンドポイント、ATM、および銀行インフラの保護が重要です。
- 持続的な脅威モニタリング:ネットワークインフラの継続的な監視は、潜在的な侵入を検出し軽減するために必要です。セキュリティチームは、すべてのシステムが最新のパッチで定期的に更新されるようにする必要があります。
- マルチレイヤーセキュリティソリューション:行動解析、機械学習、エクスプロイト保護を組み込んだ高度なセキュリティソリューションなど、ターゲット型攻撃に対する防御力を強化します。サンドボックス統合やランサムウェア保護機能を備えたツールは、セキュリティの追加レイヤーを提供します。
- リアルタイム保護:複雑な攻撃に対処する際には、ターゲット型攻撃に対するリアルタイム保護が必要です。クロス世代技術を使用してネットワーク内のどこでもターゲット型攻撃を検出し、適切な技術を適切なタイミングで適用できる必要があります。
しかしながら、技術は急速に発展する分野であり、ハッカーは新しい脅威ベクトルを開発し続けるため、個人や組織は積極的であり続け、新興脅威を継続的に監視すべきです。
暗号化応用の第一線である専門家であるビル・ブキャナン教授強調「サイバーセキュリティに大規模な投資が必要です。さもないと、ジョージ・オーウェルの『1984年』で描かれるような世界や機械に支配される世界になってしまいます。」
この声明は、サイバーセキュリティの無視の深刻な影響と、保護策への継続的な投資の必要性を強調しています。
Remember、そのような洗練された脅威行為者に対する戦いは単一の防御ではなく、予防、検出、迅速な対応を含む継続的な戦略の一つであることを忘れないでください。
最終的に、Lazarus Groupに対抗するには、用心深さ、高度なセキュリティツール、組織的な改善へのコミットメントが必要です。これらの集合的な努力を通じてのみ、企業や機関は資産を保護し、信頼を維持し、サイバー犯罪者の一歩先を行くことができます。
免責事項:
- この記事は[から転載されましたCoinTelegraph]. すべての著作権は元の著者に帰属します [Dilip Kumar Patairya]. If there are objections to this reprint, please contact the Gate Learnチームが迅速に対応します。
- 責任の免除:この記事で表現されている見解や意見は、著者個人のものであり、投資アドバイスを構成するものではありません。
- Gate Learnチームによって、記事の翻訳が行われています。特に記載がない限り、翻訳された記事のコピー、配布、または盗作は禁止されています。
Статьи по теме
ステーブルコインとは何ですか?