北朝鮮のハッカーがMacマルウェアを使って暗号資産企業を標的に

Apps · Tslro · rokbgo · 0 comments
北朝鮮のハッカーがMacマルウェアを使って暗号資産企業を標的に

北朝鮮のハッカーは、偽のZoom招待を通じて配信された高度なMacマルウェアを使用してWeb3および暗号通貨企業に侵入し、標準的なセキュリティ対策を回避しながら機密データを盗んでいる。

セキュリティ研究者らは、北朝鮮と連携したハッカーが新たなマルウェアを使ってmacOSシステム上のWeb3および暗号通貨企業を標的とする高度な攻撃を行っていることを突き止めた。

SentinelOne Labsのレポートでは、多段階の攻撃チェーンについて説明されています。この攻撃チェーンは、ソーシャルエンジニアリング、欺瞞的なAppleScript、そしてNimプログラミング言語でコンパイルされたバイナリを組み合わせたものです。

NimはmacOSでは一般的ではないため、検出が困難です。「NimDoor」と呼ばれるこの攻撃は、北朝鮮の脅威グループがセキュリティ対策を侵害し、暗号資産関連企業から機密データを盗み出すための戦術を進化させていることを示唆しています。

攻撃の仕組み

最初の侵入は、多くの場合ソーシャルエンジニアリングから始まります。攻撃者はTelegramで信頼できる連絡先になりすまし、被害者をCalendlyのリンク経由でZoom通話のスケジュール設定に誘導します。

廃止された Zoom SDK を更新するための手順を、SDK ドキュメントにアクセスするためのハイパーリンクとシェル スクリプトとともに表示するコード エディター。

zoom_sdk_support.scptファイルには、1万行のパディングが含まれており、「Zoom」ではなく「Zook」と誤記されています。画像提供:SentinelOne

被害者は、悪意のあるZoom SDKアップデートスクリプト(仕掛けられたAppleScriptファイル)を含むフィッシングメールを受け取ります。これらのスクリプトには、検出を回避し、正規のZoomドメインを模倣した攻撃者が管理するサーバーから追加のマルウェアを取得するための数千行のパディング行が含まれています。

これらのスクリプトが実行されると、被害者のマシンにさらなるペイロードがダウンロードされます。研究者たちは、持続的なアクセスを維持し、データを窃取するために、C++とNimで記述された2つの主要なMach-Oバイナリが連携して展開されていることを発見しました。

このマルウェアは、特殊な権限によるプロセスインジェクションなど、macOSでは珍しい手法を用いています。また、TLS暗号化WebSocket(WSS)を介した暗号化通信や、シグナルベースの永続化メカニズムも利用しています。

これらのメカニズムは、ユーザーがマルウェアを終了しようとしたとき、またはシステムが再起動したときに、マルウェアを再インストールします。

高度なデータ盗難と永続化

データの窃取は、ブラウザ履歴、キーチェーン認証情報、TelegramデータをスクレイピングするBashスクリプトを通じて実行されます。標的となるブラウザには、Arc、Brave、Firefox、Chrome、Microsoft Edgeなどがあります。

このマルウェアは、オフラインでのクラッキングを目的として、暗号化されたローカルの Telegram データベースも盗みます。

永続性は、macOSのLaunchAgentと欺瞞的な命名規則を巧みに利用することで実現されます。例えば、このマルウェアは「GoogIe LLC」のような名前のバイナリをインストールし、正規のGoogleファイルに紛れ込ませるため、小文字の「L」を大文字の「i」に置き換えます。

もう一つのバイナリ「CoreKitAgent」は、システム信号を監視し、終了した場合に自身を再インストールします。セキュリティサンドボックスを阻止するために、10分間の非同期スリープサイクルなどの分析対策が組み込まれています。

条件文と 16 進数値を含む関数を表示する、ダークテーマのコード エディター。行番号、コメント、さまざまな色で強調表示された構文が特徴です。

Binary NinjaのMLILビューは、マルウェアがどのようにコマンドを処理するかを示しています。画像クレジット:SentinelOne

SentinelOneによると、これらのバイナリにNimが使用されていることは、脅威アクターのツールの進化を表しています。Nimのコンパイル時実行と開発者コードとランタイムコードのインターリーブにより、静的分析がより困難になります。

AppleScriptベースのビーコンは、軽量なコマンドアンドコントロールを提供します。アラートを簡単にトリガーできるような、高度なエクスプロイト後のフレームワークに依存することなく、これを実現します。

NimDoorから身を守る方法

たとえ信頼できる連絡先から送信されたように見えても、予期せぬメールやメッセージで受信したスクリプトやソフトウェアアップデートは実行しないでください。攻撃者は被害者を騙すために、よく似たドメインを作成することが多いため、URLを注意深く確認することが重要です。

次に、macOSとインストールされているすべてのアプリケーションを最新のセキュリティパッチで更新してください。更新されたアプリは、マルウェア攻撃に悪用される脆弱性を軽減します。

プロセスインジェクション、悪意のあるAppleScript、認識されていない起動エージェントといった不審な動作を検出できる、信頼できるエンドポイントセキュリティツールの使用も有効です。ログイン項目と起動エージェントを定期的に確認することで、永続的に存在する不正なエントリを発見できる可能性があります。

最後に、強力で一意のパスワードを採用し、可能な場合は多要素認証を有効にします。

Recommended for You

Apple、EUでのiTunes購入に対する14日間の返金ポリシーを制定

Apple、EUでのiTunes購入に対する14日間の返金ポリシーを制定

アップルの投資家の株主提案は、経営陣の人種的多様性を強制する可能性

アップルの投資家の株主提案は、経営陣の人種的多様性を強制する可能性

Microsoft Office Pro 2021とWindows 11 Proをたったの49.97ドルで手に入れよう

Microsoft Office Pro 2021とWindows 11 Proをたったの49.97ドルで手に入れよう

スマートフォンのスピーカーテストで、AppleのiPhone XS MaxとGoogleのPixel 3 XLが対決する様子をご覧ください

スマートフォンのスピーカーテストで、AppleのiPhone XS MaxとGoogleのPixel 3 XLが対決する様子をご覧ください

Appleの新しいMac App Storeは90日以内にSnow Leopardに登場予定

Appleの新しいMac App Storeは90日以内にSnow Leopardに登場予定

Apple、Web版iCloudでFace IDとTouch IDによるログインを試験運用

Apple、Web版iCloudでFace IDとTouch IDによるログインを試験運用

Popular Stories

週末のAppleのお買い得品、MacBook、モニターなどが過去最低価格で販売

週末のAppleのお買い得品、MacBook、モニターなどが過去最低価格で販売

iPhone 13ケースのお買い得情報:OtterBox、Pad & Quill、Spigen、Incipioなどがセール中

iPhone 13ケースのお買い得情報:OtterBox、Pad & Quill、Spigen、Incipioなどがセール中

Microsoft Office Pro 2021とWindows 11 Proをたったの49.97ドルで手に入れよう

Microsoft Office Pro 2021とWindows 11 Proをたったの49.97ドルで手に入れよう

スマートフォンのスピーカーテストで、AppleのiPhone XS MaxとGoogleのPixel 3 XLが対決する様子をご覧ください

スマートフォンのスピーカーテストで、AppleのiPhone XS MaxとGoogleのPixel 3 XLが対決する様子をご覧ください

アップルの最新債券はアジア太平洋地域から総額40億ドルの負債を調達する可能性がある

アップルの最新債券はアジア太平洋地域から総額40億ドルの負債を調達する可能性がある

OWC Envoy Ultra Thunderbolt 5 SSDは6GB/秒の高速データ転送を実現

OWC Envoy Ultra Thunderbolt 5 SSDは6GB/秒の高速データ転送を実現