[CODE BLUE 2019]Crypto Cobra:暗号資産交換所を狙う、国家の支援を受けた実行者[レポート] #codeblue_jp

[CODE BLUE 2019]Crypto Cobra:暗号資産交換所を狙う、国家の支援を受けた実行者[レポート] #codeblue_jp

CODE BLUE 2019「Crypto Cobra:暗号資産交換所を狙う、国家の支援を受けた実行者」についての参加レポートです。
CODE BLUE

CODE BLUE

#セキュリティ
#CODE BLUE
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2019.10.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

Crypto Cobra:暗号資産交換所を狙う、国家の支援を受けた実行者 Presented by ダニ・ゴーランド イド・ナール

財政的な動機で被害者を標的とする国家の支援を受けた攻撃の実行者は1グループだけ存在する。政治的にも孤立しており、他国による経済制裁を受けている北朝鮮は、その運営資金を得るために金融機関に対して悪質なマルウェア運動を開始したと言われている。彼らは史上最も悪名高い銀行強盗として記録されているが、それだけではない。Lazarusと呼ばれるAPTグループのツールが多くのデジタル犯罪現場で発見されると同時に、実は暗号資産取引所に対する他の攻撃でも発見されていたのである。本講演は、シリーズの2回目で、暗号資産取引所に対する攻撃に焦点を当てている。APT攻撃というライオンが”デジタル戦争のジャングル”でどのように獲物を捕まえるのかについて詳しく説明する。

レポート

  • 暗号資産の交換所で実行されたAPTについて話す
  • Lazarus、北朝鮮のグループからのAPT
  • virusbayというプラットフォームを所有している
    • マルウェアの調査や情報交換をしている
  • ダニー氏はkasperskyのGlobal Researcher
  • イド氏はN-AlpaのCTO
  • ふたりともイスラエル出身
  • 暗号通貨交換所recap
    • 2019年にも攻撃がいくつかあった
    • Lazarus関連もいくつかある
    • 2020はどうなるのか
  • 規制当局から色々言われている
    • 北朝鮮に制裁を加えている
  • タイムラインを見てみる
    • Lazarusは止まっていないと考えられる
    • 2017年にカジノに対する攻撃が行われた
    • Manuscrypt5というツールが使われた
    • 銀行に攻撃
    • 同じようなグループのkimsukyで同じManuscrypt5が使われた攻撃
    • FallCillが使われてサプライチェーン攻撃がされた
    • AppleJeusという論文を出したがLazarusの動向がわかる
    • 更に2019年にSpear Phishingがあった
    • ThreatNeedleとよんでいる
      • WindowsとMac両方対象になっていた
    • これらがどのように行われたか
  • AppleJeus
    • 暗号化の鍵(C2への通信に使う)にjeusとなっていたためそう命名した
    • GIFが来るが本物ではない
    • FallChill
    • 次の段階
      • オランダのどこかの実在しない企業
      • C2
      • ヘッダに韓国の言語が含まれていた
  • BlueNoroff reloaded: v0.1
    • Nov 18
    • windowsとMac
    • Powershellをよく使っている
    • 相当な人間が関与している
    • MacとWindowsを判定している
    • 感染はWinだとcreate & execute
    • マルウェアは様々な能力を持っている
      • この開発には相当な人々が関与しているはず
    • デコイドキュメントの例を提示
    • battle64.dllなどいくつかオーバーラップがある
    • BlueNoroffとのオーバーラップが多い
    • shellcodeを実行してバックドアを作る
  • BlueNoroff reloaded: v0.2
    • Powershellがよく使われた
    • 2018年の使いまわし
    • チリの銀行が対象
    • Lazarusのツールが使われる
    • ある銀行の従業員が対象だった
    • Linkedinを使うことによって申込書を送ったが拒否された
    • しかしPowershellが起動され感染
  • Jargon
    • KYC(know you customer)
    • AML(anti money laundering)
    • CFT(combating the financing of terrorism)
  • どうして法規制が必要なのか
    • 健全でない資金が多い
  • Bithumbについて見ていく
    • どのようにして現金にしたかを見ることができる
    • なぜYoBitだったか
      • 規制を受けていない
      • 簡単に口座を開ける
  • FATFのTravel Rule
    • どうやって現金化を困難にするか
    • 2020年6月までに適用が求められている
  • AMLD5
    • 2020年2月20日に発行

感想

引き続き交換所を狙った攻撃は続きそうですが、法規制で抑止がかかるといいですね。

Share this article

facebook logohatena logotwitter logo

関連記事

Security-JAWS 第35回レポート #secjaws #secjaws35 #jawsug

Security-JAWS 第35回レポート #secjaws #secjaws35 #jawsug

User avatar
臼田佳祐
2024.11.18
[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp

[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp

User avatar
吉本明人
2024.11.15
[レポート]Panel Discussion:サイバーセキュリティ人材育成と戦略的イニシアティブへの国際的アプローチ – CODE BLUE 2024 #codeblue_jp

[レポート]Panel Discussion:サイバーセキュリティ人材育成と戦略的イニシアティブへの国際的アプローチ – CODE BLUE 2024 #codeblue_jp

User avatar
吉本明人
2024.11.15
[レポート]SnowflakeからSnowstormへ:侵害と検知の対処 - CODE BLUE 2024 #codeblue_jp

[レポート]SnowflakeからSnowstormへ:侵害と検知の対処 - CODE BLUE 2024 #codeblue_jp

User avatar
臼田佳祐
2024.11.15
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.