Sapphire Sleetとして知られる北朝鮮の高度持続的脅威(APT)グループが、macOS環境を標的とした高度に巧妙なマルウェアキャンペーンを展開しています。
2020年から活動を続けるこの脅威アクターは現在、Web3開発者、ベンチャーキャピタル企業、暗号資産関連組織など、高価値な金融系ターゲットに焦点を当てています。
今回のキャンペーンは、従来の技術的な脆弱性悪用ではなく、信頼関係の悪用に大きく依存しています。攻撃者はmacOSのネイティブアプリケーションを巧みに操り、暗号資産ウォレット、SSHキー、重要な企業データを密かに窃取します。
侵入はターゲットを絞ったソーシャルエンジニアリングから始まります。攻撃者はLinkedInやTelegramといったプロフェッショナル向けプラットフォームで採用担当者や投資家を装い、被害者とのビデオ会議をセッティングします。
会議の前に、攻撃者はターゲットに対し、「Zoom SDK Update.scpt」と名付けられた偽のZoomコンポーネントをインストールするよう指示します。
被害者がこのファイルを実行すると、macOSのScript Editorでネイティブに開かれます。攻撃者は数千行もの空白行を用いて悪意あるロジックを隠蔽し、一見しただけでは気づかれないよう工夫しています。
スクリプトが起動すると、ハードコードされたUser Agentを使った一連のコマンドが実行され、攻撃者のサーバーへの接続が確立されて初期プロファイリングツールが展開されます。
認証情報を盗むため、マルウェアはネイティブのシステム画面を模した偽アプリを起動し、パスワードの入力を促します。しかし、この攻撃で最も技術的に高度なのがプライバシー制御のバイパスです。
マルウェアはデフォルトでフルディスクアクセス権限を持つmacOSのFinderアプリを悪用し、システムのプライバシーデータベースを上書きします。
この静かな改ざんにより、システムのスクリプティングツールに完全な自動化権限が付与され、macOSのセキュリティアラートを完全に回避できるようになります。
levelblueの調査によると、攻撃者はシステム起動時にバックドアを直接メモリに読み込む、偽装された起動プロセスをインストールします。
次にマルウェアは、ExodusやLedger Liveといった暗号資産ウォレット、Telegramのセッションプロファイル、ローカルのSSHキー、Apple Notesなど、特定のファイルを積極的に探し出します。見つかったファイルはアーカイブされ、攻撃者のリモートインフラに密かにアップロードされます。
AppleとMicrosoftはオリジナルのキャンペーンインフラの一部を無効化しましたが、セキュリティチームは以下の侵害の痕跡(IoC)を積極的に監視する必要があります。
攻撃者は新たなドメインやペイロードへの切り替えを迅速に行えますが、中核となる行動パターンは引き続き検出可能な状態にあります。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクの発生を防ぐため、意図的にdefang処理(例:[.])されています。MISP、VirusTotal、SIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ元の形式に戻してご使用ください。
翻訳元: https://cyberpress.org/north-korean-mac-malware/
