北朝鮮のハッカーが、偽のZoom招待状を使って暗号通貨業界を狙う、極めて高度なmacOSマルウェア攻撃キャンペーンを展開しています。その仕組みをご紹介します。

SentinelLabsの研究者によって「NimDoor」と名付けられたこの攻撃は、一般的なmacOSの脅威よりも洗練されており、AppleScript、Bash、C++、Nimを連鎖させてデータを盗み出し、侵害されたシステムへのアクセスを維持します。

SentinelLabsによるハッキングの要約は次のとおりです。

• DPRK の脅威アクターは、Web3 および暗号関連のビジネスを標的としたキャンペーンで、Nim でコンパイルされたバイナリと複数の攻撃チェーンを利用しています。
• macOS マルウェアとしては珍しく、脅威の攻撃者はプロセス インジェクション手法と、WebSocket プロトコルの TLS 暗号化バージョンである wss 経由のリモート通信を採用しています。
• 新しい永続化メカニズムは、SIGINT/SIGTERM シグナル ハンドラーを利用して、マルウェアが終了したときやシステムが再起動されたときに永続化をインストールします。
• 脅威の攻撃者は、最初のアクセスを取得するためだけでなく、攻撃チェーンの後半で軽量のビーコンやバックドアとして機能するためにも、AppleScript を広範囲に展開します。
• Bash スクリプトは、キーチェーンの資格情報、ブラウザ データ、および Telegram ユーザー データを盗み出すために使用されます。
• SentinelLABS の分析では、これまでに報告されたコンポーネントを結び付ける新しい TTP とマルウェア アーティファクトが強調表示され、脅威アクターの進化するプレイブックの理解が深まります。

簡単に言うと、実際の仕組み

ソーシャルエンジニアリングを駆使したこの攻撃では、信頼できる連絡先を装った人物がTelegram経由で被害者にアプローチします。Calendlyで通話の予約をするように促され、その後、偽のZoomリンクと偽の「Zoom SDKアップデート」を実行するよう指示するフォローアップメールが送られてきます。SentinelLabsによると、このファイルは「本来の機能を隠蔽するために1万行もの空白行が詰め込まれている」とのことです。

実行されると、複雑な一連のイベントがトリガーされ、コマンド＆コントロールサーバーとの暗号化された接続が確立されます。また、システムの再起動やマルウェアのプロセス終了時に主要コンポーネントを再インストールするバックアップロジックも備えています。

ハッキングに必要なバイナリと永続化メカニズムがすべて揃うと、マルウェアはBashスクリプトを使って認証情報や機密データをスクレイピングし、盗み出します。これにはキーチェーン認証情報、ブラウザデータ、Telegramデータが含まれます。

完全な技術的詳細を見る価値は十分にある

ハッキングの仕組みの詳細を知りたい場合は、SentinelLabs のレポートをご覧ください。このレポートには、完全なハッシュ リスト、コード スニペット、スクリーンショット、攻撃フロー図のほか、偽の Zoom アップデートから最終的なデータ流出までの各段階の詳細な内訳が含まれています。

研究者らはまた、NimDoor は macOS マルウェアにおいて、北朝鮮の脅威アクターがこれまで一般的に使用してきた Go、Python、シェル スクリプトを超えて、より複雑であまり知られていないクロスプラットフォーム言語へと幅広く移行していることを反映していると指摘しています。

こういったハッキン​​グは怖いですか？誇張されすぎていると思いますか？コメント欄で教えてください。

Amazonのアクセサリーセール

• Anker 25,000mAh パワーバンク、100W、USB-C: 119.99ドル
• Anker 折りたたみ式 3-in-1 ワイヤレス充電器、15W、Qi2：20% オフ、$71.99
• AirPods Pro 2：20%オフの199.00ドル
• エアタグ 4個パック：24%オフ、$74.99
• HomeKitスマートプラグ、15A、4個パック：20%オフ、34.99ドル

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。