北朝鮮のハッカー攻撃:BeaverTailマルウェアを使用してMacユーザーをターゲットにするために求職者を偽装する

ジャカルタ-セキュリティ研究者は、侵害された会議アプリを介してマルウェアを盗む情報でMacユーザーを標的とする北朝鮮(DPRK)の国家支援ハッカーの試みを特定しました。

感染後、マルウェアはMacと攻撃者のコマンド&コントロール(C2)サーバーとの間の接続を構築し、iCloud Keychainクレデンシャルなどの機密データを抽出します。このマルウェアはまた、機械を乗っ取り、キーストロークを収集するために、バックグラウンドにAnyDeskリモートデスクトップアプリケーションとケイロッギングソフトウェアを密かにインストールします。

「BeaverTail」として知られるこの株の新しい亜種であるマルウェアは、マルウェアHunterTeamによってXへの投稿を通じて最初に報告されました。

セキュリティ研究者でライターのPatrick Wardleは、Objective-Seeのかなり包括的なブログ記事でマルウェアを分析しました。Wardleは、ハッカーが求職者を装う可能性が高いことを発見しました。彼らは被害者をだまして、ディスクイメージファイル「MicroTalk.dmg」の名前によると、MiroTalkの公式ビデオ会議プラットフォームであると思われるものをダウンロードさせますが、実際には隠されたマルウェアを含むクローンです。

北朝鮮のハッカーが求職者を装って被害者を標的にしているという報告は今回が初めてではない。ユニット42 Paloult Networkは最近、「雇用主のハッキングと雇用希望者:北朝鮮の脅威アクターの2つの雇用関連キャンペーンの旗の殿下」というタイトルの同様のストーリーを報告しました。

Wardleの分析によると、マルウェアを含むMicroTalkクローンは、特定された開発者によって署名されていないか、Appleに登録されていないため、macOSゲートキーパーはアプリケーションの実行を防ぎます。ただし、ユーザーは右クリックしてショートカットメニューから[開く]を選択することで、ブロックを克服できます。

感染後、マルウェアはC2サーバーと通信し、KeyChainのiCloud資格情報や、秘密鍵やマイモニックフレーズを盗むために使用できる人気のある暗号通貨ウォレットのブラウザ拡張機能IDなどのデータをダウンロードして抽出します。

理解するのが最も難しいのは、先週マルウェアが発見されたとき、マルウェアは検出されずにVirusTotalのようなウイルス対策スキャナーをバイパスできることです。サイバー犯罪者は、VirusTotalなどのプラットフォームに実行ファイルをアップロードして、悪意のある側面がよく隠されていることを確認して、人気のあるスキャナーによって検出されないようにします。欠点は、「良い」パーティーもそれを見ることができるということです。

「シンボルの外部から具体的には、フィルタリングとダウンロード&ランニング機能を明らかにする方法(outubeU グリッド、pDownFinical、ラン)の名前が見られます」と Objective-Seeのブログ記事によると。

「そして、組み込みの文字列から、95,164,17,24121224、およびマルウェアがフィルタリングのために収集する情報の種類に関する最も可能性の高いコマンド&コントロールサーバーアドレス、および手がかりが表示されます。特に、人気のある暗号通貨ウォレット、ユーザーのブラウザデータパス、およびmacOSキーチェーンのブラウザ拡張ID。他の点は、悪意のあるパイソンスクリプトのようです。

この可能性は、有名な国営サイバー犯罪会社、ラザログループのサブグループであるBlueNoroffの仕事です。BlueNoroffの典型的なケースの中には、投資家や企業求職者であると装って潜在的な被害者にしばしば接触するケースがいくつかあります。アヒルのように見え、アヒルのように泳いで、アヒルのように鳴る場合、それはおそらくアヒルです。