はじめに
北朝鮮の脅威アクターUNC1069が、高度なAIパワードソーシャルエンジニアリング戦術と7種類のマルウェアファミリーを駆使し、暗号通貨および分散型金融(DeFi)セクターに対する攻撃をエスカレートさせています。Mandiantの最近の調査によると、2018年以降活動しているこの金銭目的のグループは、FinTech企業への侵入において、新たに発見されたマルウェア「SILENCELIFT」、「DEEPBREATH」、「CHROMEPUSH」を含む前例のない数のツールを展開しました。
巧妙な攻撃手口
攻撃は、ある暗号通貨企業の幹部のTelegramアカウントが侵害されたことから始まりました。UNC1069は被害者との信頼関係を構築した後、偽のCalendlyスケジューリングリンクを送信し、攻撃者によって制御されるインフラ上の偽のZoom会議(zoom[.]uswe05[.]us)へと誘導しました。この偽のビデオ通話中に、被害者は別の暗号通貨企業のCEOを装ったAI生成のディープフェイクに遭遇したと報じられています。ただし、MandiantはこのAIの使用を独自に確認することはできませんでした。
このソーシャルエンジニアリングスキームでは、「ClickFix攻撃」手法が用いられました。これは、脅威アクターがトラブルシューティングの問題を装って、悪意のあるコマンドを実行させる手口です。偽の会議では、被害者に音声の問題が発生していると見せかけ、「トラブルシューティング」コマンドを実行するよう促し、それが実際の感染チェーンを開始しました。
高度なマルウェア群
Mandiantは、今回の侵入で展開された7種類のユニークなマルウェアファミリーを発見しました。このうち、SUGARLOADERのみが以前に特定されたツールでした。新規のマルウェアには以下のものがあります。
- DEEPBREATH: Swiftベースのデータマイナーで、macOSのTransparency, Consent, and Control(TCC)データベースを操作し、Keychainからの認証情報、Chrome、Brave、Edgeからのブラウザデータ、TelegramおよびApple Notesからのユーザー情報を窃取します。
- CHROMEPUSH: C++で書かれたデータマイナーで、Google Docsのオフラインエディタを装うブラウザ拡張機能として自身をインストールし、キーストローク、ユーザー名、パスワードの入力、ブラウザクッキーを捕捉します。
- SILENCELIFT: バックドアで、ホスト情報をコマンド&コントロールサーバーにビーコン送信しながら、root権限で実行されるとTelegramの通信を遮断する機能も維持します。
進化する戦術と標的
ClickFix攻撃は脅威の状況全体で増加傾向にあり、攻撃者は偽のエラーメッセージやCAPTCHA認証プロンプトを使用して、ユーザー自身に悪意のあるコードを実行させるよう仕向けています。注目すべきは、UNC1069が2025年のUNC4899のような他のグループと比較して、暗号通貨の窃盗における影響は小さいものの、伝統的なスピアフィッシングからWeb3業界を狙う高度なターゲティングへと移行している点です。
このグループは、集中型取引所、金融機関のソフトウェア開発者、ベンチャーキャピタルを標的としています。UNC1069は、マルウェア開発、作戦研究、偵察にGeminiのようなAIツールを悪用しています。単一のホストに多数のツールが展開されていることは、資格情報、ブラウザデータ、セッション情報を窃取し、将来のソーシャルエンジニアリングキャンペーンで盗んだ被害者のIDを使用するというUNC1069の断固たる努力を示しています。
侵害の痕跡 (Indicators of Compromise)
- mylingocoin.com: 初期感染を開始するために取得および実行されたペイロードをホストしていました。
- zoom.uswe05.us: 偽のZoom会議をホストしていました。
- breakdream.com: SUGARLOADERのC&C(コマンド&コントロール)サーバー。
- dreamdie.com: SUGARLOADERのC&C(コマンド&コントロール)サーバー。
- support-zoom.us: SILENCELIFTのC&C(コマンド&コントロール)サーバー。
- supportzm.com: HYPERCALLのC&C(コマンド&コントロール)サーバー。
- zmsupport.com: HYPERCALLのC&C(コマンド&コントロール)サーバー。
- cmailer.pro: CHROMEPUSHのアップロードサーバー。