[CODE BLUE 2019]Crypto Cobra:暗号資産交換所を狙う、国家の支援を受けた実行者[レポート] #codeblue_jp

CODE BLUE 2019「Crypto Cobra:暗号資産交換所を狙う、国家の支援を受けた実行者」についての参加レポートです。
2019.10.30

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

Crypto Cobra:暗号資産交換所を狙う、国家の支援を受けた実行者 Presented by ダニ・ゴーランド イド・ナール

財政的な動機で被害者を標的とする国家の支援を受けた攻撃の実行者は1グループだけ存在する。政治的にも孤立しており、他国による経済制裁を受けている北朝鮮は、その運営資金を得るために金融機関に対して悪質なマルウェア運動を開始したと言われている。彼らは史上最も悪名高い銀行強盗として記録されているが、それだけではない。Lazarusと呼ばれるAPTグループのツールが多くのデジタル犯罪現場で発見されると同時に、実は暗号資産取引所に対する他の攻撃でも発見されていたのである。本講演は、シリーズの2回目で、暗号資産取引所に対する攻撃に焦点を当てている。APT攻撃というライオンが”デジタル戦争のジャングル”でどのように獲物を捕まえるのかについて詳しく説明する。

レポート

  • 暗号資産の交換所で実行されたAPTについて話す
  • Lazarus、北朝鮮のグループからのAPT
  • virusbayというプラットフォームを所有している
    • マルウェアの調査や情報交換をしている
  • ダニー氏はkasperskyのGlobal Researcher
  • イド氏はN-AlpaのCTO
  • ふたりともイスラエル出身
  • 暗号通貨交換所recap
    • 2019年にも攻撃がいくつかあった
    • Lazarus関連もいくつかある
    • 2020はどうなるのか
  • 規制当局から色々言われている
    • 北朝鮮に制裁を加えている
  • タイムラインを見てみる
    • Lazarusは止まっていないと考えられる
    • 2017年にカジノに対する攻撃が行われた
    • Manuscrypt5というツールが使われた
    • 銀行に攻撃
    • 同じようなグループのkimsukyで同じManuscrypt5が使われた攻撃
    • FallCillが使われてサプライチェーン攻撃がされた
    • AppleJeusという論文を出したがLazarusの動向がわかる
    • 更に2019年にSpear Phishingがあった
    • ThreatNeedleとよんでいる
      • WindowsとMac両方対象になっていた
    • これらがどのように行われたか
  • AppleJeus
    • 暗号化の鍵(C2への通信に使う)にjeusとなっていたためそう命名した
    • GIFが来るが本物ではない
    • FallChill
    • 次の段階
      • オランダのどこかの実在しない企業
      • C2
      • ヘッダに韓国の言語が含まれていた
  • BlueNoroff reloaded: v0.1
    • Nov 18
    • windowsとMac
    • Powershellをよく使っている
    • 相当な人間が関与している
    • MacとWindowsを判定している
    • 感染はWinだとcreate & execute
    • マルウェアは様々な能力を持っている
      • この開発には相当な人々が関与しているはず
    • デコイドキュメントの例を提示
    • battle64.dllなどいくつかオーバーラップがある
    • BlueNoroffとのオーバーラップが多い
    • shellcodeを実行してバックドアを作る
  • BlueNoroff reloaded: v0.2
    • Powershellがよく使われた
    • 2018年の使いまわし
    • チリの銀行が対象
    • Lazarusのツールが使われる
    • ある銀行の従業員が対象だった
    • Linkedinを使うことによって申込書を送ったが拒否された
    • しかしPowershellが起動され感染
  • Jargon
    • KYC(know you customer)
    • AML(anti money laundering)
    • CFT(combating the financing of terrorism)
  • どうして法規制が必要なのか
    • 健全でない資金が多い
  • Bithumbについて見ていく
    • どのようにして現金にしたかを見ることができる
    • なぜYoBitだったか
      • 規制を受けていない
      • 簡単に口座を開ける
  • FATFのTravel Rule
    • どうやって現金化を困難にするか
    • 2020年6月までに適用が求められている
  • AMLD5
    • 2020年2月20日に発行

感想

引き続き交換所を狙った攻撃は続きそうですが、法規制で抑止がかかるといいですね。