2025年2月22日、大手仮想通貨取引所のBybitから約14億ドルの仮想通貨が盗まれた。

この際に使用されたアドレスから、北朝鮮のLazarusが攻撃に関与していることが示唆された。

そのLazarusの関係者とみられる者の漏洩情報がインフォスティーラーログから確認されたらしい。

www.infostealers.com

Bybit事件は凄い話題だった

詳細は様々な記事を見てください。とにかく漏洩仮想通貨量とか、盗み出した手法とか凄い。

・日本語でのまとめ
「Bybitハッキング事件の解析：コールドウォレットとマルチシグを突破した新たな攻撃手法」

・CheckPointのブロックチェーンからの分析
The Bybit Incident: When Research Meets Reality - Check Point Research

・ウォレット攻撃の概要図

Now that we know who's behind the @Bybit_Official attack. Let's look at how the hack actually worked.

At a high level, the hack involved the 4 broad group of events:

1. Attacker deployed a trojan contract and a backdoor contract.

2. Attacker tricked signers of the upgradeable… pic.twitter.com/5repcdcsDB

— David Leung (@dhkleung) 2025年2月21日

・凄い資金洗浄してる
過去最高被害額となったBybit事件へのChainalysisの対応

・ロールバックの議論もあった
イーサリアムのロールバック提案にコア開発者が反論、Bybitハッキング事件で

UI改ざんのソーシャルエンジニアリングで複数人を騙して、攻撃を成功させた。

攻撃に際して使用されたLazarus関連情報の分析

Silent Pushは、Bybit攻撃の際に見られた情報、その他数か月間に公開されたLazarusグループに関するあらゆる情報を精査した。

その結果、Lazarusのインフラに侵入したり、攻撃状況を観測したりできたらしい。

さて、今回注目したいのはLazarusがBybitから約14億ドル盗むことに成功する数時間前に登録していたとみられる「bybit-assessment[.]com」というドメイン。

このドメインの登録には、「trevorgreer9312@gmail[.]com」というメールアドレスが使用されていた。

「trevorgreer9312@gmail[.]com」を使用したログイン情報が確認された

冒頭で示したHudsonRockの調査より、「trevorgreer9312@gmail[.]com」を使用した認証情報を含むインフォスティーラーの記録が確認された。

確認できた限りでは、「trevorgreer9312@gmail[.]com」はMonovmというVPSサービスのログインに使用されていたようだ。

インフォスティーラーのログからは、他にもVPSサービスの登録やnamecheapでドメイン勝手そうなログイン情報、VPSにログインしてそうな記録が確認されたらしい。

なんと、HudsonRockがこのインフォスティーラーの記録をまとめてくれたので、少しだけ確認できる。

このインフォスティーラーの記録からは、いつ何をインストールしたとか、どういうことしてたとかまとめられていて面白い。

個人的に気になったのはインストールされたプログラム

HudsonRockが確認したインフォスティーラーの記録から、この端末にインストールされたプログラムの一部を確認できる。

攻撃者がどのようなツールを使っているのかが気になった。

・The Enigma Protector v7.40
商用DRMソフトウェア。ゲームデータの改ざん防止、リバースエンジニアリング防止とかに使用される。カプコンとかが使っているらしい。
リバースエンジニアリング防止ということは、マルウェア的には難読化的な目的で使うわけですな。よくある。

・Visual Studio Professional 2019
Visual StudioはProfessionalのようです。やっぱり、Windowsのバイナリビルドや開発するならコレ。

・BeeBEEP 5.8.6
暗号化メッセンジャー。LAN環境で外部サーバを経由せずメッセージのやり取りするらしい。VPNとかで世界中の仲間と安全にチャットしてた？

・Astrill VPN
迅速、安全、匿名のVPNらしい。 Astrill VPNってどっかで聞いたなと思ったら、例のワーカー達も使ってた。

・NoxPlayer
Androidマルウェアの開発でもするのかなと思う。一方で、Androidでアプリ使った方が便利なTelegramとか、電話番号認証とかをエミュレータでやるのが良いって聞いたことがあるから、それ関係か？

・NetLimiter
アプリごとの通信制限、送受信データの監視ツール。使用しているOSやアプリケーションが勝手に外部と通信するのは嫌だよね。じゃあ止めちゃおうというアプリ。
アプリケーションの通信を制御することで匿名化を狙ったり、余計な痕跡を残さないようにする目的か？

・SSL.COM eSigner
署名用ツール。信頼されている署名を使用することで、マルウェア検知や怪しい通信元として検知されるのを回避するようにしているのか？