北朝鮮のハッカーがMacマルウェアを使用して暗号会社を攻撃

ジャカルタ - 北朝鮮と提携しているハッカーは、macOS固有の高度なマルウェアを使用して、Web3および暗号企業を標的にしていると伝えられています。このマルウェアは、機密データを盗み、標準のセキュリティシステムの検出を回避することを目的として、偽のZoom招待状を介して拡散されます。

SentinelOne Labsのレポートによると、これらの攻撃は、ソーシャルエンジニアリング技術、悪意のあるApple ライツ、およびmacOSではめったに使用されない言語であるNimプログラミング言語を使用してコンパイルされたバイナリファイルを含む階層化された方法を使用しており、検出プロセスを困難にしています。

「NimDoor」と名付けられたこのサイバーキャンペーンは、北朝鮮のハッカーグループがセキュリティシステムに侵入し、暗号セクターに従事する企業からデータを盗むために使用する新しい戦術を示しています。

攻撃の仕組み

攻撃は通常、ソーシャルエンジニアリングから始まります。攻撃者はTelegramアプリを介して信頼できる連絡先になりすまし、被害者にカレンディリンクを介してズーム通話をスケジュールするように勧めます。

被害者は、検出を回避するために何千行もの「パッディング」行を持つ悪意のあるApple中型の偽のZoom SDKアップデートファイルを含むフィッシングメールを受け取りました。このスクリプトは、公式のZoomドメインになりすますハッカー所有のサーバーから追加のマルウェアをダウンロードします。

研究者によって2つの主要なバイナリファイルが発見され、1つはC Javaで、もう1つはNimで書かれ、固定アクセスを作成してデータを盗むために使用されました。

データアクセスと盗難のための高度な手法

このマルウェアは、特定のアクセス権を持つプロセス注入、WebSocket TLS (wss) を介した暗号化された通信、信号ベースの粘り強度メカニズムなど、macOS では珍しい方法を使用しています。

このマルウェアは、ユーザーがオフにしようとした場合、またはシステムがリ起動されたときに再インストールされます。データを盗むために、このマルウェアはブラウザの履歴、キーチェーンの資格情報、およびTelegramデータを抽出するバッシュスクリプトを使用します。

ターゲットとするブラウザには、Arc、Brave、Firefox、Chrome、Microsoft Edge などがあります。実際、このマルウェアは、オフラインでクラックされる可能性のために暗号化されたローカルのTelegramデータベースを取ります。

リジックな持続性テクニック

システムを維持するために、マルウェアは、「GoogIe LLC」(小さな「L」文字を大きな「i」に置き換える)などの元のファイルに似た名前を持つmacOS LaunchAgentsを利用して、Googleのファイルのように見えます。また、「CoreKitAgent」と呼ばれるファイルもあり、システム信号を監視し、停止した場合は再インストールします。

マルウェアには、サンドボックスでの検出を回避するために、10分間の同期休止などのアンチアナリシス機能が装備されています。

攻撃ツールの進化

SentinelOneによると、ニム言語の使用は、ハッカーが使用するツールの能力の向上を示しています。開発者コードとランタイムコードをコンパイルして組み合わせる際にコードを実行するニムの能力は、静的分析を困難にします。

Apple ベースの Beacon では、セキュリティ システムで検出が容易な重いエクスプロイトフレームワークを使用することなく、軽量のリモートコントロールが可能になります。

不和から自分自身を守る方法

1.信頼できる連絡先から来ているように見えても、電子メールまたは疑わしいメッセージで受信したスクリプトまたはソフトウェアの更新を実行しないでください。

2.ハッカーがクローンドメインを使用することが多いため、URLを注意深く確認してください。

3.macOSシステムとアプリを最新バージョンに常に更新して、セキュリティの抜け穴を塞ぎます。

4.プロセス注入、悪意のあるApple サイバー、または疑わしいランチャーエージェントを検出できる信頼できるエンドポイントセキュリティアプリを使用します。

5.アイテムのログインとLaunchAgentsを定期的に確認して、許可されていないエントリを検出します。

6. 強力で一意のパスワードを使用し、利用可能な場所ならどこでも2要素認証(2FA)を有効にします。