「Crazy Evil」暗号資産詐欺集団

2021年以降、「Crazy Evil」暗号資産詐欺集団は、デジタル資産を標的とする最も活発なサイバー犯罪グループの1つに成長しました。個人情報詐欺、暗号通貨の盗難、情報窃取マルウェアを専門とするCrazy Evilは、正規のトラフィックを悪意のあるフィッシングページにリダイレクトする役割を担うソーシャルエンジニアリングの専門家であるトラファーの高度に組織されたネットワークを活用しています。

Crazy Evilの運営は広大で、細心の注意を払っています。その6つのサブチーム（AVLAND、TYPED、DELAND、ZOOMLAND、DEFI、KEVLAND）は、特定の被害者プロフィールを狙ったオーダーメイドの詐欺を行っています。暗号通貨インフルエンサーを標的としたフィッシングの誘いから、クロスプラットフォーム感染を目的としたマルウェアのペイロードまで、このグループの戦術からはサイバーセキュリティの抜け穴に対する高度な理解が見られます。

主な調査結果

1. ソーシャルメディア詐欺：Insikt Groupは、VoxiumやRocket Galaxyを含む、被害者を欺くためにカスタマイズされたおとりを利用した10件以上の詐欺を発見しました。
2. 多様化されたマルウェアツールキット：Crazy Evilは、WindowsおよびmacOS向けのStealcやAMOSといった高度なツールを使用し、広範囲にわたる侵害を確実にします。
3. 暗号通貨ユーザーとインフルエンサーの標的化：Crazy Evilは、特注のスピアフィッシングルアーを用いて暗号通貨業界を明確に狙っています。

軽減策

• エンドポイント保護の強化：高度なエンドポイント検出と対応（EDR）ソリューションを導入して、Rhadamanthys、Stealc、AMOSなど、Crazy Evilに関連する既知のマルウェアファミリーの実行を監視およびブロックします。これらの特定のツールは、ソーシャルメディア詐欺と組み合わせることで、Crazy Evilの攻撃の即時の兆候となります。
• Webフィルタリングと監視：Webフィルタリングソリューションを導入し、Crazy Evilに関連する既知の悪意のあるドメイン（本レポートに記載のすべてのドメインを含む）へのアクセスをブロックするほか、不審なダウンロード、特にクラックされた「フリーミアム」ソフトウェアに関連するものをブロックします。
• 継続的な脅威インテリジェンス監視：Crazy Evilに関連する最新の侵害指標（IoC）を用いて、脅威インテリジェンスフィードを定期的に更新します。セキュリティチームがグループによって採用されている最新の戦術、技術、手順（TTP）を確実に把握できるようにします。
• ユーザーの意識向上とトレーニング：フィッシング、ソーシャルエンジニアリング、疑わしいダウンロードに関連するリスクを強調し、従業員に対して継続的なサイバーセキュリティ意識向上トレーニングを実施します。Crazy Evilの暗号通貨を標的とした攻撃によってもたらされるリスクに関する特定のモジュールを含めます。
• コラボレーションと情報共有：同業他社、脅威インテリジェンス機関、法執行機関と協力して、Crazy Evilや類似の脅威に関する情報を共有してください。高度なサイバー犯罪グループに対する集団的防御を強化するために、セクター横断的な取り組みに参加してください。
• 規制コンプライアンスの強化：データ保護とサイバーセキュリティに関連する規制要件の変化に常に先手を打ちます。特に金融業界など、Crazy Evilの攻撃が深刻な結果をもたらす可能性がある業界では、組織の慣行が国内および国際的な基準に合致していることを確認します。
• Recorded Future：Insikt Groupは、Recorded Future Malware Intelligenceを使用して、上記のCrazy Evil詐欺に関連するビルドID、C2インフラ、ステージングドメイン、その他の悪意のある指標を特定することを推奨します。Recorded Future Malware IntelligenceとRecorded Future Network Intelligenceの両方を使用することで、情報窃取活動をより効果的に識別し、クラスター化することができ、感染、被害者分析、ピボット詐欺の初期兆候を提供できます。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。