北朝鮮関連のハッカーによるAI生成ディープフェイクの利用
北朝鮮に関連するハッカーが、AI生成のディープフェイクを用いたライブビデオ通話を利用して、暗号通貨の開発者や労働者を騙し、自らのデバイスに悪意のあるソフトウェアをインストールさせる事例が続いています。
BTC Pragueの共同創設者であるマーチン・クハールによって明らかにされた最新の事例では、攻撃者が侵害されたTelegramアカウントと演出されたビデオ通話を使用し、Zoomの音声修正として偽装されたマルウェアを押し付けたと報告されています。
「この高レベルのハッキングキャンペーンは、ビットコインや暗号通貨のユーザーをターゲットにしているようです」とクハールは木曜日にXで述べました。攻撃者は被害者に連絡を取り、ZoomまたはTeamsの通話を設定します。クハールによれば、通話中にAI生成のビデオを使用して、被害者が知っている誰かのように見せかけます。そして、音声の問題があると主張し、被害者にプラグインやファイルをインストールするように求めます。
一度インストールされると、マルウェアは攻撃者に完全なシステムアクセスを与え、ビットコインを盗んだり、Telegramアカウントを乗っ取ったり、そのアカウントを使用して他の人を狙ったりすることが可能になります。
AI駆動のなりすまし詐欺の影響
AI駆動のなりすまし詐欺が暗号関連の損失を2025年に記録的な170億ドルに押し上げた中、攻撃者はますますディープフェイクビデオ、音声クローン、偽の身分を使用して被害者を欺き、資金へのアクセスを得ていますと、ブロックチェーン分析会社Chainalysisのデータは示しています。
クハールが説明した攻撃は、サイバーセキュリティ会社Huntressが最初に文書化した手法に非常に似ており、昨年7月にはこれらの攻撃者がTelegramでの初期接触の後、ターゲットの暗号労働者を演出されたZoom通話に誘い込むことが報告されました。
しばしば偽のミーティングリンクを使用して、偽装されたZoomドメインでホストされます。通話中、攻撃者は音声の問題があると主張し、被害者にZoom関連の修正をインストールするよう指示しますが、実際にはマルウェアのAppleScriptであり、マルチステージのmacOS感染を開始します。
攻撃の手法と影響
実行されると、スクリプトはシェル履歴を無効にし、Apple SiliconデバイスにRosetta 2(翻訳レイヤー)をチェックまたはインストールし、ユーザーにシステムパスワードを繰り返し求めて特権を取得します。この研究では、マルウェアチェーンが持続的なバックドア、キーロギングおよびクリップボードツール、暗号ウォレットの盗難を含む複数のペイロードをインストールすることがわかりました。
これは、クハールが月曜日に彼のTelegramアカウントが侵害され、その後同様の方法で他の人を狙うために使用されたと明らかにした際に指摘した類似のシーケンスです。
Huntressのセキュリティ研究者は、この侵入を北朝鮮に関連する高度な持続的脅威TA444に高い信頼性で帰属させており、BlueNoroffとしても知られ、Lazarus Groupという傘下の名称で運営されるいくつかの別名を持つ国家支援のグループで、少なくとも2017年から暗号通貨の盗難に焦点を当てています。
専門家の見解と対策
これらのキャンペーンの運用目標や相関関係について尋ねられた際、ブロックチェーンセキュリティ会社Slowmistの最高情報セキュリティ責任者であるShān Zhangは、クハールへの最新の攻撃は「おそらく」Lazarus Groupのより広範なキャンペーンに関連しているとDecryptに語りました。
「キャンペーン間での明確な再利用があります。特定のウォレットを狙うことや、非常に似たインストールスクリプトの使用が一貫して見られます」と、分散型AIコンピュートネットワークGonkaの共同創設者であるデイビッド・リベラマンはDecryptに語りました。
画像やビデオは「もはや信頼できる真実の証拠として扱うことはできません」とリベラマンは述べ、デジタルコンテンツは「その作成者によって暗号的に署名されるべきであり、そのような署名は多要素認証を必要とするべきです」と付け加えました。
このような文脈において、物語は「追跡し検出するための重要な信号」となっており、これらの攻撃が「馴染みのある社会的パターンに依存している」ことを考慮すると、重要です。
北朝鮮のLazarus Groupは、暗号企業、労働者、開発者に対するキャンペーンに関連しており、特注のマルウェアと高度なソーシャルエンジニアリングを使用してデジタル資産やアクセス資格情報を盗んでいます。
