スローフォグコサイン：CEX盗難事件が北朝鮮のハッカー集団ラザルスグループによる攻撃であることが確認され、攻撃手法が明らかになった

SlowMistの創設者であるYu Cosineは、ソーシャルメディアで、証拠分析と関連追跡を通じて、CEX盗難事件の攻撃者が北朝鮮のハッカー組織Lazarus Groupであることを確認したと述べました。これは、暗号通貨取引プラットフォームを標的とした国家レベルのAPT攻撃です。私たちは、IPが悪用されたクラウドサービスプロバイダーやプロキシを含む関連するIOC（侵害の指標）を共有することに決めました。この開示は、どのプラットフォームが関与しているか、またはCEXを具体的に言及しているわけではありませんが、類似点がある場合、それは不可能ではありません。

攻撃者は、pyyamlを使用してRCE（リモートコード実行）を行い、悪意のあるコードを配信し、ターゲットのコンピュータやサーバーを制御しました。この方法は、ほとんどのウイルス対策ソフトウェアのスキャンを回避します。パートナーと情報を同期した後、複数の類似した悪意のあるサンプルが取得されました。攻撃者の主な目的は、暗号通貨取引プラットフォームのインフラに侵入し、これらのウォレットから大量の暗号化資産を不正に転送することによってウォレットを制御することです。

SlowMistは、Lazarus Groupの攻撃手法を明らかにする要約記事を発表し、ソーシャルエンジニアリング、脆弱性の悪用、権限昇格、内部ネットワーク侵入、資金移動などの戦術の使用を分析しました。同時に、実際のケースに基づいてAPT攻撃に対する防御策をまとめ、業界の参考となることを期待し、より多くの組織がセキュリティ保護能力を強化し、潜在的な脅威の影響を軽減するのを助けることを目指しています。