北朝鮮関連ハッカーがウォレットを空にしたBitrefill侵害に関与の疑い

Bitrefillは、3月1日にサイバー攻撃の標的となり、暗号資産資金の盗難が発生したことを明らかにし、調査の結果、この事件が北朝鮮関連のLazarus/Bluenoroffグループが使用する戦術と関連する複数の指標が見つかったと述べた。

同社は、攻撃者の手法、マルウェア、オンチェーントレースパターン、IPアドレスとメールアドレスの再利用における類似性が、このグループに帰属する過去の活動と一致していると述べた。

Bitrefillサイバー攻撃

同社によると、侵害は従業員のノートパソコンが侵害されたことに端を発し、そこから古い認証情報が抽出された。その認証情報により、本番環境の機密情報を含むスナップショットへのアクセスが可能となり、攻撃者はそれを使用してBitrefillのシステム全体へのアクセスを拡大した。これにより、データベースの一部と特定の暗号資産ウォレットに到達することができた。

最新のツイートで、Bitrefillは、一部のサプライヤーに関わる異常な購入パターンを検知した後、最初に事件を特定したと述べた。これは、ギフトカード在庫と供給フローが悪用されていることを示していた。同時に、一部のホットウォレットが流出しており、資金が攻撃者が管理するアドレスに送信されていることを確認した。侵害が確認されると、同社は状況を封じ込めるためにすべてのシステムをシャットダウンした。

事件後、Bitrefillは、外部のサイバーセキュリティ専門家、インシデント対応チーム、ブロックチェーンアナリスト、法執行機関と協力していることを確認した。

同社は、顧客データが攻撃の主な焦点であったという兆候はないと述べた。ログによると、攻撃者は、抽出可能なものを特定するための調査活動と一致する限られた数のデータベースクエリを実行した。これには暗号資産とギフトカード在庫が含まれていた。Bitrefillは、最小限の個人データを保存しており、KYC認証を必須としておらず、認証情報は外部プロバイダーが保持していると付け加えた。

ただし、メールアドレス、暗号資産決済アドレス、IPアドレスなどのメタデータを含む約18,500件の購入記録がアクセスされたことを確認した。特定の製品について顧客が名前を提供した約1,000件のケースでは、情報は暗号化されていたが、暗号化キーの露出の可能性があるため、同社はアクセスされた可能性があるものとして扱っている。該当するユーザーには通知されている。

Bitrefillは、現在、顧客が特定の行動を取る必要があるとは考えていないが、Bitrefillまたは暗号資産に関連する予期しない通信には警戒するよう助言した。

同社は、さらなる外部サイバーセキュリティレビューとペネトレーションテストの実施、内部アクセス制御の強化、モニタリングおよびロギングシステムの改善、インシデント対応手順の改善など、セキュリティ対策を強化したと付け加えた。財務的損失は運営資本から補填され、支払いや在庫を含むほとんどのサービスが復旧したと述べた。

Lazarusの脅威

近年、多くの暗号資産プラットフォームがセキュリティフレームワークを強化しているにもかかわらず、脅威アクターは保護をバイパスし続けている。Lazarus Groupは、このセクターで最も執拗で危険な敵対者であり続けており、2025年2月にBybitから14億ドルを盗んだ後、記録上最大の暗号資産ハッキングの責任を負っている。

ブロックチェーン調査員のZachXBTは以前、Bybit、DMM Bitcoin、WazirXなどのプラットフォームに関わる侵害では、盗まれた資金が容易にマネーロンダリングされたと述べた。このオンチェーン調査員は、マネーロンダリンググループが執行機関との「戦いに勝利したように見える」と付け加えていた。

「北朝鮮関連ハッカーがウォレットを流出させたBitrefill侵害で疑われる」という投稿は、CryptoPotatoに最初に掲載されました。