当社のエキスパートは、暗号資産、スマートコントラクト、分散型金融(DeFi)、ブロックチェーンテクノロジーに関わる企業を狙う悪意ある活動を調査してきました。この攻撃者たちはフィンテック全般に興味を示しており、「SnatchCrypto」と名付けられた今回の活動は、2016年のバングラデシュ中央銀行への攻撃に関与したとして知られるAPTグループ「BlueNoroff」と関わりがあります。
SnatchCryptoの目的
この活動の背後にいるサイバー犯罪者は、情報収集と暗号資産の窃取という、2つの目的を持っています。前者に関しては、主にユーザーアカウントに関するデータ、IPアドレス、セッション情報の収集に関心を示しています。後者に関しては、暗号資産と直接連動し、認証情報をはじめアカウント関連情報を含む可能性のある、プログラムの設定ファイルを盗みます。攻撃者は標的の選定に慎重で、標的の活動を何か月にもわたってモニタリングする場合もあります。
彼らが用いる手段の一つは、暗号資産管理用の一般的なブラウザー拡張機能を操作することです。例えば、ブラウザー設定内で拡張機能の提供元を変更し、公式Webストアではなくローカルストレージから(改変されたバージョンが)インストールされるようにします。また、改変を加えたChrome向け拡張機能「MetaMask」を使用して送金ロジックを置き換え、ハードウェアデバイスを使って暗号資産の送金に署名する人からでも資金を窃取できるようにすることもあります。
BlueNoroffの侵入手法
攻撃者は標的を慎重に研究し、得た情報をもってソーシャルエンジニアリングを仕掛けます。典型的なのは、実在のベンチャーキャピタル企業から届いたように見えるメールを作成し、マクロが有効になったドキュメントを添付するやり方です。このドキュメントを開くと、バックドアがダウンロードされます。攻撃および攻撃手法の技術的詳細については、Securelistの記事『The BlueNoroff cryptocurrency hunt is still on』(英語)をご覧ください。
SnatchCrypto攻撃から会社を守るには
SnatchCryptoの攻撃を明確に示すサインは、改変されたMetaMask拡張機能の存在です。これを使用するに当たり、攻撃者はブラウザーを開発者モードに切り替え、MetaMaskをローカルディレクトリからインストールしなければなりません。ブラウザーのモードが自分の許可なく切り替えられており、MetaMaskがローカルディレクトリから読み込まれていたら、そのデバイスはセキュリティ侵害されていると判断できます。
さらに、以下のような標準の保護手段を講じることをお勧めします。
- 従業員のサイバーセキュリティ意識を定期的に向上させる。
- 重要なアプリケーション(OSおよびオフィススイートを含む)をすぐにアップデートする。
- インターネットにアクセスするコンピューターはすべて、信頼できるセキュリティソリューションで保護する。
- 複雑な脅威を検知し、タイムリーに対応することができるように、EDRソリューションを使用する(自社インフラに適合している場合)。