GreedyBearの活動拡大
ロシアのハッキンググループGreedyBearは、最近数ヶ月でその活動を拡大し、150の「武器化されたFirefox拡張機能」を使用して国際的かつ英語を話す犠牲者を標的にしていると、Koi Securityの調査によって報告されています。Koiはその研究結果をブログで発表し、米国とイスラエルに拠点を置く同社は、このグループが「産業規模の暗号盗難を再定義した」と述べています。
攻撃手法と被害状況
彼らは150の武器化されたFirefox拡張機能、約500の悪意のある実行ファイル、そして「数十」のフィッシングウェブサイトを使用して、過去5週間で100万ドル以上を盗んだと報告しました。Decryptに語ったKoiのCTO、Idan Dardikmanは、Firefoxキャンペーンが「これまでで最も収益性の高い攻撃ベクター」であり、「彼ら自身が報告した100万ドルのほとんどを得た」と述べました。
この特定の手口は、MetaMask、Exodus、Rabby Wallet、TronLinkなどの広くダウンロードされている暗号ウォレットの偽バージョンを作成することを含みます。GreedyBearのオペレーターは、Extension Hollowingを使用してマーケットプレイスのセキュリティ対策を回避し、最初に悪意のないバージョンの拡張機能をアップロードし、その後アプリを悪意のあるコードで更新します。また、拡張機能の偽レビューを投稿し、信頼性と信頼の誤った印象を与えます。
マルウェアの配布とフィッシング
一度ダウンロードされると、悪意のある拡張機能はウォレットの認証情報を盗み、それを使用して暗号を盗みます。GreedyBearはこの方法でわずか1ヶ月余りで100万ドルを盗むことに成功しただけでなく、彼らの活動の規模を大幅に拡大しました。以前のキャンペーンは、今年の4月から7月にかけて活動しており、わずか40の拡張機能を使用していました。
このグループの他の主要な攻撃方法は、約500の悪意のあるWindows実行ファイルを含み、これらはロシアのウェブサイトに追加され、海賊版または再パッケージされたソフトウェアを配布しています。これらの実行ファイルには、認証情報を盗むソフトウェア、ランサムウェア、トロイの木馬が含まれており、Koi Securityは「必要に応じて戦術を変更できる広範なマルウェア配布パイプライン」を示唆しています。
フィッシングウェブサイトの運営
グループはまた、デジタルウォレット、ハードウェアデバイス、ウォレット修理サービスなどの正当な暗号関連サービスを提供するふりをする数十のフィッシングウェブサイトを作成しています。GreedyBearはこれらのウェブサイトを使用して、潜在的な犠牲者に個人データやウォレットの認証情報を入力させ、それを使用して資金を盗みます。
「Firefoxキャンペーンはよりグローバルな英語を話す犠牲者を標的にし、一方で悪意のある実行ファイルはよりロシア語を話す犠牲者を標的にしていることは言及する価値があります」とIdan DardikmanはDecryptに語りました。
中央集権的な運営と今後の展望
攻撃方法や標的の多様性にもかかわらず、Koiは「ほぼすべての」GreedyBearの攻撃ドメインが単一のIPアドレス185.208.156.66にリンクしていると報告しています。このアドレスは、調整と収集のための中央ハブとして機能し、GreedyBearのハッカーが「操作を合理化する」ことを可能にしています。
Dardikmanは、単一のIPアドレスは「厳密な中央集権的制御」を意味し、分散型ネットワークではないと述べました。「これは、国家の後援ではなく組織的なサイバー犯罪を示唆しています。政府の操作は通常、単一障害点を避けるために分散型インフラを使用します」と彼は付け加えました。「利益のために活動するロシアの犯罪グループの可能性が高いです。」
ユーザーへの警告と対策
Dardikmanは、GreedyBearが今後も活動を続ける可能性が高いとし、彼らの拡大する影響を避けるためのいくつかのヒントを提供しました。
「確認済みの開発者からの拡張機能のみをインストールしてください」と彼は述べ、ユーザーは常に海賊版ソフトウェアサイトを避けるべきだと付け加えました。また、公式のウォレットソフトウェアのみを使用し、ブラウザ拡張機能は使用しないことを推奨しましたが、真剣な長期投資家であればソフトウェアウォレットから離れることを勧めました。
彼は「重要な暗号保有のためにはハードウェアウォレットを使用してください。ただし、公式の製造元のウェブサイトからのみ購入してください。GreedyBearは支払い情報や認証情報を盗むために偽のハードウェアウォレットサイトを作成します。」と述べました。
