Volexityはこのほど、「Buyer Beware: Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware|Volexity」において、北朝鮮に関連するとみられている持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Lazarus」が暗号資産ユーザーに対して新しいマルウェアキャンペーンを展開していると伝えた。Lazarusが、ネットワークへの初期アクセスと暗号資産を窃取ためのマルウェアを配信するために、偽の暗号資産アプリを広めていることが観察されている。

  • ₿uyer ₿eware: Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware|Volexity

    ₿uyer ₿eware: Fake Cryptocurrency Applications Serving as Front for AppleJeus Malware|Volexity

Lazarusによるこの活動においては、悪意あるMicrosoft Officeドキュメントを経由して「AppleJeus」と呼ばれるマルウェアの亜種が配布され、暗号資産ユーザーや組織を標的にしたキャンペーンが行われていたという。

キャンペーンを分析したところ、暗号資産の取引サイトに見せかけた偽のWebサイトが発見され、別の正規のWebサイトからコンテンツが盗用されていることが確認されている。また、展開されたAppleJeusのさらなる技術な分析により、過去に文書化されたことのない新しいDLLサイドローディングのバリエーションが発見されている。

活動や戦術が注目されているにもかかわらず、Lazarusは暗号資産ユーザーをターゲットにしたキャンペーンの展開を続けている。今回、検知を回避するために新たなDLLサイドローディングが採用されたことが判明しており、AppleJeusの亜種を展開するためにMicrosoft Officeドキュメントが悪用され、北朝鮮の財政を強化する手段として暗号資産業界が狙われ続けているとみられている。