北朝鮮のLazarus、新たな暗号資産攻撃でファイルレスマルウェアを使用

サイバーセキュリティアナリストが、RemotePEと名付けられた新しいファイルレスリモートアクセストロイの木馬（RAT）を発見した。これは、北朝鮮と関係があるとされるサイバー犯罪グループ「ラザルスグループ」が銀行や暗号資産企業を標的にするために使用している。

最近の分析によると、このマルウェアは完全にメモリ上で動作し、感染したコンピューターシステムにほぼ痕跡を残さない。

ラザルスグループ、ソーシャルエンジニアリングで投資家を詐欺

ラザルスグループはソーシャルエンジニアリング手法でハッキングを開始する。Telegramを通じてトレーディング会社の従業員を装い、ミーティングのスケジュール調整に広く使われているCalendlyやPicktimeの偽のコピーを利用する。

ミーティングの承認を得た後、一連のイベントが進行し、最初のマルウェアがインストールされる。この「ヒューマン・イン・ザ・ループ」手法により、ラザルスのオペレーターは効果的な罠を構築できる。

マルウェアはディスク操作を最小化することを目的とした、よく調整された3段階チェーンで動作する。最初はDPAPILoaderで、これはダイナミックリンクライブラリ（DLL）であり、2023年11月以降はIassvc.dllというファイル名でも知られている。

このプログラムはWindows Data Protection Application Programming Interface（DPAPI）を使用して、ディスクに保存されたペイロードを復号化する。

復号化されたペイロードはRemotePELoaderに渡され、aes-secure[.]netのC2へのHTTP接続を作成する。その後、最終段階のRemotePEをメモリ上でダウンロードして実行する。

EDRソリューションを回避するため、RemotePELoaderはHell's Gateテクニックと ETW Patchingを使用して検出を逃れる。

最終的に、メインのRemotePE RATペイロードはファイルシステムと一切接触せず、攻撃チェーン全体を通じてフォレンジックの可視性を低く保つ。このマルウェアは2025年9月に初めて発見された。

報告されたインシデントでは、分散型金融（DeFi）企業のインフラが、RemotePE、PondRAT、ThemeForestRATという3つの異なるRATによって侵害され、最終的に互いに置き換え合った。

高度な技術とAIがトレーダーの最悪の悪夢に

かつて暗号資産投資家はAIとテクノロジーを活用してトレーディングを効率化しようとした。しかし今、同じツールがハッカーの手に渡り、多大な経済的損失をもたらしている。

DPAPIによる環境キーイング、メモリのみでの実行、ETWパッチング、Hell's Gateにより、RemotePEは従来の手法ではほぼ検出不可能だ。NCCグループの関連会社であるFox-ITのアナリストは、これらの特性がマルウェアを長期的に持続させ、攻撃を開始する前に偵察を行うよう設計されていることを示唆していると指摘しており、典型的な破壊的マルウェア攻撃とは異なると述べている。

ラザルスグループは2026年の最初の4か月間で、すでに暗号資産約5億7700万ドルを窃取した。ブロックチェーン分析企業TRM Labsによると、わずか2件の主要なハッキングインシデントにもかかわらず、これは世界全体の暗号資産盗難の76%を占めている。

北朝鮮に起因する暗号資産ハッキングの割合は急激に上昇している。過去数年の一桁台から、2025年には64%、2026年には76%に達した。2017年以降の盗難総額は60億ドルに達している。これらの資金は、制裁下にある同国の兵器および核開発プログラムに充てられているとされている。

ハッカーはAIを活用し、主要テック企業の開発者を不安定化させる

サイバーセキュリティの専門家が、Ghost Content Management Systemを使用する700以上のサイトを標的にした大規模攻撃を発見した。攻撃者は重大なSQLインジェクションの脆弱性を悪用し、管理者アカウントのユーザー名とパスワードへのアクセスを取得した上で、JavaScriptリダイレクトを通じてClickFix配布チャネルにマルウェアを注入した。

標的とされたプラットフォームには、学術機関、AIの取り組み、ブロックチェーンサービス、SaaSベンダー、サイバーセキュリティ研究機関、ニュースエージェンシー、フィンテック企業が含まれる。

偽のCAPTCHAに遭遇した被害者は、実行ダイアログボックスにBase64エンコードされた文字列を入力するよう求められる。このステップで、バッチスクリプトを含むZIPファイルをダウンロードできる。このバッチスクリプトはPowerShellコマンドを実行し、リモートサーバーから署名済みDLLまたはJavaScriptファイルを取得する。

マルウェアの以前のバージョンはrundll32.exeを使用してDLLを実行していた。しかし最近のバージョンは、Grapeと呼ばれるElectronアプリケーションのオープンソース版用のInno Setupインストーラーをインストールする。インストール後、マルウェアは持続性を持ち、30秒ごとにC2ドメインweb-telegram[.]ugにポーリングする。

最も優れた暗号資産の専門家たちがすでに当社のニュースレターを購読しています。参加しませんか？ぜひご一緒に。