ラザルスグループ、偽NFTゲームでChromeの脆弱性を悪用
北朝鮮のハッカー集団「ラザルスグループ」が、GoogleのChromeブラウザに存在した脆弱性を悪用し、スパイウェアをユーザーの端末に仕込んでウォレットの認証情報を盗もうとしたことがわかった。カスペルスキーのアナリストは、この脆弱性を5月に発見し、Googleに報告した。Googleはすでに修正を行っている。
ゲームに潜むリスク
このハッカーのプレイ・トゥ・アーン型マルチプレイヤーオンラインバトルアリーナゲームは、LinkedInやXで宣伝されていた。ゲームは「デタンクゾーン」または「デタンクウォー」と呼ばれ、世界的な競技でNFTを戦車として使用していた。ユーザーはゲームをダウンロードしなくても、ウェブサイトから感染する可能性があった。ハッカーは既存の「デファイタンクランド」をモデルにしてゲームを開発したようだ。
ハッカーは「マナスクリプト」と呼ばれるマルウェアを使用し、その後、V8 JavaScriptエンジンの「型の混乱バグ」として知られる新しい脆弱性を悪用した。これは2024年の5月中旬までにChromeで発見された7つ目のゼロデイ脆弱性だった。カスペルスキーの主任セキュリティ専門家ボリス・ラリン氏は、「このキャンペーンに投じられた多大な努力は、彼らが野心的な計画を持っていたことを示しており、実際の影響はより広範囲に及び、世界中のユーザーや企業に影響を与える可能性がある」と語った。
この偽ゲームは2月にマイクロソフトセキュリティによって発見された。ハッカーはカスペルスキーが分析する前にウェブサイトからスパイウェアを削除していた。それでもラボはグーグルに情報を提供し、ハッカーが再び使用する前にChromeの脆弱性が修正された。
Screenshot from Lazarus Group’s fake game. Source: SecureList
仮想通貨を狙う北朝鮮
ゼロデイ脆弱性はソフトウェアに見つかったセキュリティ上の脆弱性の中でも、その存在が公表される前や修正用プログラムがリリースされる前の脆弱性のことだ。このため、グーグルは問題の脆弱性を修正するのに12日を要した。今年初めには、別の北朝鮮のハッカー集団が別のゼロデイ脆弱性を利用し、仮想通貨保有者を標的にした。
Source: Microsoft Threat Intelligence
ラザルスグループは仮想通貨を頻繁に標的にしている。仮想通貨探偵のザックXBTによれば、2020年から2023年の間に、25件のハッキングで2億ドル以上の仮想通貨を洗浄した。また、ラザルスグループは2022年に6億ドル相当の仮想通貨を獲得したローニンブリッジへの攻撃に関与していると米国財務省によって指摘された。
米国のサイバーセキュリティ企業リコーデッドフューチャーは、北朝鮮のハッカー全体が2017年から2023年の間に30億ドル以上の仮想通貨を盗んだと発見した。
仮想通貨取引所ビットゲット(Bitget) が入金&取引キャンペーンを開催!最大で5000USDT相当の先物ポジションクーポンとPS5を獲得可能【10月最新】
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
CryptoQuantのCEO、ビットコインは2030年までに通貨として使用されると予測
ビットコインのマイニング難易度は過去3年間で378%上昇し、大企業が主導しています。ステーブルコインの成長と規制は、2030年までにビットコインの通貨としての採用を促進する可能性があります。2028年の半減期後にはビットコインのボラティリティが低下し、現金としての利用が促進されると予想されています。
GSRの共同CEOリッチ・ローゼンブルム氏とCTOが暗号市場メーカーを退職
GSRの共同創設者兼共同CEOであるリッチ・ローゼンブルム氏とCTOのジョン・マクドナルド氏が退社する予定です。このリーダーシップの変更は、今年のGSRにおけるもう一つの大きな経営陣の変動を示しています。
米国の州規制当局、技術およびデジタル資産関連の調査で「急増」を報告
北米証券管理者協会は今週初めの声明で、デジタル資産やその他の分野に対する新たな調査が2022年から「大幅に増加した」と述べました。米国の規制当局は暗号業界に対する執行措置を強化しています。
Hack VCがWeb3健康管理アプリMoonwalk Fitnessの340万ドルのシードラウンドを主導
ムーンウォーク・フィットネスは、ハックVCが主導し、リシプロカル・ベンチャーズ、バイナンス・ラボ、CMS、フローデスクなどの追加支援を受けて、シード資金として340万ドルを調達しました。ムーンウォークは、ユーザーが特定の日々のフィットネス目標を達成できなかった場合に、暗号通貨を賭ける仕組みを提供しています。