CryptoCore刑事グループ

Infosecの研究者は、主に暗号通貨取引所を標的とした数百万の攻撃キャンペーンの原因となったサイバー犯罪グループの身元を明らかにしたと信じています。ハッカーグループは、その活動を追跡しているセキュリティ専門家によってCryptoCoreという名前が付けられました。最初の報告では、攻撃はおそらくウクライナ、ロシア、ルーマニアなどの地域の国々にいる東ヨーロッパのハッカーによるものでした。

複数のサイバーセキュリティベンダーが、セキュリティ研究者によって観察された活動との重要な類似性を示したさまざまな悪意のある操作に関する独自の調査結果を発表することで、そのレポートをフォローアップしました。 F-SECUREレポートは、暗号通貨ウォレットに対する大規模な多国籍キャンペーンの詳細を明らかにし、日本のCERT JPCERT / CCは、日本企業に対する複数の攻撃の分析後に調査結果を共有しました。最後の部分は、日本のサイバーセキュリティ会社であるNTTセキュリティからのCRYPTOMIMICとして追跡したキャンペーンに関するレポートでした。

収集された情報を組み合わせて比較した後、研究者たちは、CryptoCoreの操作を、北朝鮮の国が後援するハッキンググループLazarusに中程度から高い信頼度で帰するのに十分な証拠を持っていました。これにより、F-Secureによって以前に確立された結論が確認されました。

CryptoCore攻撃の詳細

攻撃は2018年に最初に検出され、標的となるエンティティ内に足場を築くように設計されたスピアフィッシング戦術が含まれていました。ハッカーはさまざまなIDを想定し、選択したユーザーとの接触を開始しました。その後、被害者はだまされて1つ以上の破損したファイルを自分のコンピューターにダウンロードしました。 2018年から2020年の間に、5つの異なる攻撃キャンペーンがCryptoCoreオペレーションの一部であると決定されました。侵害されたエンティティには、3つの異なる暗号通貨取引所といくつかの日本企業が含まれていました。ハッキングの結果としての推定損失は2億ドルを超えています。

サイバー犯罪者は、最近の作戦にイスラエルの標的を含めることにより、活動の範囲を拡大しているようです。シフトは、焦点が再調整されていること、またはハッカーが特定の財務プロファイルに一致する企業を追いかけていることを示している可能性があります。