
レポート解説:北朝鮮ハッカー、フィッシンググループおよびマネーロンダリングツールの分析
TechFlow厳選深潮セレクト

レポート解説:北朝鮮ハッカー、フィッシンググループおよびマネーロンダリングツールの分析
本稿では、朝鮮のハッカー集団「Lazarus Group」2023年の動向について紹介し、その活動状況やマネーロンダリング手法をまとめ分析することで、集団のプロフィールを明らかにする。最後に、ハッカーが常用するマネーロンダリングツールについても紹介する。
執筆:マンウー・セキュリティチーム
前回の記事では2023年のブロックチェーンセキュリティ情勢について解説しました。本稿では、2023年に活動した北朝鮮ハッカー集団Lazarus Groupや主要なフィッシンググループ、および一部のマネーロンダリングツールの動向に焦点を当てます。
Lazarus Group
2023年の動向
2023年に公開された情報によると、6月までに北朝鮮ハッカー集団Lazarus Groupによる重大な暗号資産盗難事件は確認されていませんでした。オンチェーン活動から見ると、Lazarus Groupは主に2022年に盗んだ暗号資産の資金洗浄を行っており、その中に2022年6月23日に攻撃を受けたHarmonyクロスチェーンブリッジで失われた約1億ドルが含まれています。
しかし実際には、Lazarus Groupは2022年の盗難資金の洗浄だけでなく、それ以外の時間も休まず、影に潜みながらAPT(Advanced Persistent Threat)関連の攻撃活動を着々と進めていました。これらの活動は、6月3日から始まる暗号資産業界の「暗黒の101日間」を引き起こしました。
この「暗黒の101日間」の間に、合計5つのプラットフォームが攻撃され、盗難額は3億ドルを超えました。被害対象の多くは中心化サービスプラットフォームでした。

9月12日頃、マンウーはパートナー企業と共に、Lazarus Groupが暗号資産業界に対して大規模なAPT攻撃を展開していることを発見しました。攻撃手法は以下の通りです。まず身元詐称を行い、本人確認を突破して正規顧客として入金します。その後、顧客という立場を利用して、複数の公式担当者や顧客とのやり取りのタイミングで、MacまたはWindows用のカスタムトロイ型マルウェアを狙い撃ちで配布し、権限を取得後、内部ネットワーク内で横向きに侵入し、長期潜伏することで資金盗難を達成します。

米国FBIも暗号資産エコシステムにおける重大な盗難事件を注視しており、報道資料で北朝鮮ハッカー集団Lazarus Groupに関与する事件を公表しています。以下は、FBIが2023年に発表したLazarus Groupに関する報道資料です。
-
1月23日、FBIは (https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-cyber-actors-responsible-for-harmonys-horizon-bridge-currency-theft) 、Lazarus GroupがHarmony Hack事件の責任者であると確認しました。
-
8月22日、米連邦捜査局(FBI)は公告 (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) を発表し、北朝鮮ハッカー組織がAtomic Wallet、Alphapo、CoinsPaidの攻撃に関与し、合計1.97億ドル相当の暗号資産を盗んだと発表しました。
-
9月6日、米連邦捜査局(FBI)は報道資料 (https://www.fbi.gov/news/press-releases/fbi-identifies-cryptocurrency-funds-stolen-by-dprk) を発表し、Lazarus GroupがStake.comの暗号資産ギャンブルプラットフォームから4100万ドルを盗んだ事件の責任者であると確認しました。
マネーロンダリング方法の分析
私たちの分析によると、Lazarus Groupのマネーロンダリング手法も時代とともに進化しており、一定期間ごとに新たな手法が登場しています。マネーロンダリング手法の変遷は以下の表の通りです。

グループのプロファイリング分析
InMistインテリジェンスネットワークのパートナー企業からの強力な情報支援を基に、マンウーAMLチームはこれらの盗難事件とハッカー集団Lazarus Groupに関連するデータを追跡・分析し、Lazarus Groupの一部プロファイルを明らかにしました。
-
欧州人やトルコ人の身分をよく偽装に利用する。
-
すでに把握されている数十のIP情報、十数のメールアドレス、および一部匿名化された身分情報:
-
111.*.*.49
-
103.*.*.162
-
103.*.*.205
-
210.*.*.9
-
103.*.*.29
-
103.*.*.163
-
154.*.*.10
-
185.*.*.217
Wallet Drainers
注:本セクションはScam Snifferが執筆しました。ここに感謝を申し上げます。
概要
Wallet Drainersは暗号資産関連の悪意あるソフトウェアとして、過去一年間で著しい「成功」を収めました。これらのソフトウェアはフィッシングサイトに配置され、ユーザーに悪意のある取引を承認させることで、暗号資産ウォレット内の資産を盗み出します。このようなフィッシング攻撃は多様な形態で一般ユーザーを標的にしており、多くのユーザーが無意識のうちに悪意のある取引を承認し、大きな財産的損失を被っています。
盗難統計

過去一年間、Scam SnifferはWallet Drainersが約32万人の被害者から約2.95億ドル相当の資産を盗んだことを確認しています。
盗難トレンド

特に3月11日には約700万ドルが盗まれました。これは主にUSDCの為替変動により、Circleを騙るフィッシングサイトに引っかかったことが原因です。また、3月24日頃のArbitrumのDiscord乗っ取りとそれに続くエアドロップの時期にも大量の盗難が発生しています。
各ピークは常に何らかの大規模イベントと関連しています。エアドロップやハッキング事件などが該当します。
注目すべきWallet Drainers

ZachXBTがMonkey Drainerを暴露した後、彼らは6ヶ月の活動を経て引退を宣言しました。その後、Venomがその大部分の顧客を引き継ぎました。その後、MS、Inferno、Angel、Pinkなどが3月頃に登場しました。Venomが4月頃にサービスを停止すると、ほとんどのフィッシンググループは他のサービスに移行しました。Drainer料金が20%であることを考えると、彼らはサービス販売によって少なくとも4700万ドルの利益を得ました。
Wallet Drainersのトレンド

トレンド分析により、フィッシング活動は継続的に増加していることがわかります。また、各Drainerが引退した後には必ず新しいDrainerがその役割を引き継いでいます。例えば、最近Infernoが引退を発表した後、Angelが新たな代替品となっているようです。
どのようにフィッシング活動を開始するのか?

フィッシングサイトへのトラフィック獲得方法はおおむね以下の種類に分けられます。
-
ハッキング攻撃
-
公式プロジェクトのDiscordやTwitterが乗っ取られる
-
公式プロジェクトのフロントエンドまたは使用するライブラリが攻撃される
-
自然流入
-
NFTまたはトークンのエアドロップ
-
Discordリンクの有効期限切れと占有
-
Twitterのスパム通知およびコメント
-
有料トラフィック
-
Google検索広告
-
Twitter広告
ハッキング攻撃は影響範囲が広いものの、通常10〜50分以内にコミュニティ全体が反応するため、迅速に対処されます。一方、エアドロップ、自然流入、有料広告、Discordリンクの占有などはより巧妙で気づかれにくいです。さらに、個人に対するDMでのフィッシングなども行われています。
一般的なフィッシング署名

異なる資産タイプに対して異なる方法で悪意のあるフィッシング署名が行われます。上記は資産タイプ別に見られる一般的なフィッシング署名の方法です。Drainersは被害者のウォレット内にある資産タイプに基づいて、どのような悪意のある署名を行うかを決定します。
GMXのsignalTransferを利用してReward LPトークンを盗むケースからわかるように、特定資産に対するフィッシング手法は非常に精緻に研究されています。
より多くのスマートコントラクトの活用
1)Multicall

Inferno以降、彼らはより多くのリソースをコントラクト技術の使用に注いでいます。例えば、手数料分割には2回のトランザクションが必要ですが、速度が遅いと2回目の送金時に被害者に事前キャンセルされる可能性があります。そのため、効率を高めるためにmulticallを使ってより効率的な資産移転を行っています。
2)CREATE2 & CREATE

同様に、ウォレットのセキュリティ検証を回避するために、create2やcreateを使って一時的なアドレスを動的に生成する試みも始まっています。これにより、ウォレット側のブラックリストが無効化され、フィッシング調査の難易度が上がります。なぜなら、署名しないと資産がどこに送られるかわからないからです。また、一時アドレスは分析価値がありません。これは昨年と比べて大きな変化です。
フィッシングサイト

フィッシングサイトの数の推移を分析すると、毎月着実にフィッシング活動が増えていることが明確にわかります。これは安定したwallet drainerサービスの存在と密接に関係しています。

上記はこれらのフィッシングサイトが主に使用しているドメイン登録業者です。サーバーアドレスを分析すると、ほとんどがCloudflareを使用して実際のサーバーアドレスを隠していることがわかります。
マネーロンダリングツール
Sinbad
Sinbadは2022年10月5日に設立されたビットコインミキサーで、取引の詳細を曖昧にしてオンチェーンの資金流れを隠蔽します。
米財務省は、Sinbadを「バーチャル通貨ミキサーであり、OFAC指定の北朝鮮ハッカー組織Lazarus Groupの主要なマネーロンダリングツール」と表現しています。SinbadはHorizon BridgeおよびAxie Infinityのハッキング事件の資金処理を行い、「制裁回避、麻薬取引、児童性虐待資料の購入、ダークウェブ市場でのその他の違法販売」に関連する資金も移送しています。

Alphapoハッキング(Lazarus Group)のマネーロンダリングプロセスでもSinbadが使用されました。例:取引

(https://oxt.me/transaction/2929e9d0055a431e1879b996d0d6f70aa607bb123d12bfad42e1f507d1d200a5)
Tornado Cash

(https://dune.com/misttrack/mixer-2023)
Tornado Cashは完全に非中央集権的で非管理型のプロトコルであり、送信元アドレスと宛先アドレス間のオンチェーンリンクを切断することで取引のプライバシーを向上させます。プライバシー保護のため、Tornado Cashはスマートコントラクトを使用し、あるアドレスからのETHおよび他のトークンの預け入れを受け付け、別のアドレスからの引き出しを可能にします。つまり、送信元アドレスを隠してETHや他のトークンを任意のアドレスに送信できます。
2023年、ユーザーはTornado Cashに合計342,042 ETH(約6.14億ドル)を預け入れ、合計314,740 ETH(約5.67億ドル)を引き出しました。
eXch

(https://dune.com/misttrack/mixer-2023)
2023年、ユーザーはeXchに合計47,235 ETH(約9014万ドル)を預け入れ、25,508,148 ERC20ステーブルコイン(約2550万ドル)を預け入れました。
Railgun
Railgunはzk-SNARKs暗号技術を用いて、取引を完全に不可視にします。Railgunはユーザーのトークンをプライバシーシステム内で「shielding」することで、ブロックチェーン上ではすべての取引がRailgunコントラクトアドレスからの送信として表示されます。
2023年初頭、米連邦捜査局(FBI)は、Lazarus GroupがHarmonyのHorizon Bridgeから盗んだ6000万ドル以上の資金を洗浄するためにRailgunを使用したと発表しました。
まとめ
本稿では、北朝鮮ハッカー集団Lazarus Groupの2023年の動向について紹介しました。マンウー・セキュリティチームはこのハッカー集団を継続的に監視し、その動向とマネーロンダリング手法を分析・まとめ、グループのプロファイルを提示しました。2023年はフィッシンググループが跋扈し、ブロックチェーン業界に巨額の資金損失をもたらしました。こうしたグループの行動は「リレー」のように次々と交代しながら持続的かつ大規模な攻撃を展開しており、業界のセキュリティに大きな課題を突きつけています。ここで、Web3アンチスキャムプラットフォームScam SnifferがWallet Drainersに関する情報を提供してくれたことに感謝します。この内容は、彼らの活動方法や収益構造を理解する上で重要な参考価値を持っています。最後に、ハッカーがよく使うマネーロンダリングツールについても紹介しました。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News









