米国の国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)、連邦捜査局(FBI:Federal Bureau of Investigation)、および財務省は4月18日(米国時間)、北朝鮮の政府が支援する脅威アクターによるブロックチェーン企業を標的としたサイバー攻撃が活発化しているとして、共同サイバーセキュリティアラート「AA22-108A - TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies」を公開した。
AA22-108Aは、北朝鮮の政府が支援するLazarus Group、APT38、BlueNoroff、StardustChollimaなどの名前で知られているAPT(Advanced Persistent Threat:持続的標的型攻撃)グループの活動について警告するもの。米国政府では、暗号資産のトレードや分散型の金融(DeFi)プロトコル、暗号通貨の取引会社、ベンチャーキャピタルファンドといった、ブロックチェーン技術に関わる企業や組織を標的とした、北朝鮮の脅威アクターによるさまざまなサイバー攻撃活動を観測しているという。
攻撃者は、マルウェア等を用いて標的のコンピュータを侵害し、秘密鍵を盗み出したり、他の脆弱性を悪用したさらなる被害を生み出したりといった攻撃を行う。これによって、不正なブロックチェーントランザクションを開始するなどの後続の活動が可能になる。
アラートでは、攻撃者が使用する戦術や手順、関連する技術、侵入の痕跡(IOC)などについて明らかにした上で、被害を軽減するための具体的な緩和策を提示している。CISAは、米国の組織に対し、AA22-108Aを確認した上で提示された緩和策を実施することを推奨している。