Script Editorと偽のアップデートダイアログを悪用するSapphire Sleetキャンペーン、macOSユーザーを標的に

高度なサイバースパイキャンペーンが、世界中の重要な金融分野においてAppleコンピューターユーザーを積極的に標的にしています。

北朝鮮の脅威アクターは、説得力のあるソーシャルエンジニアリング手法を駆使し、プラットフォームに組み込まれた防御機能を完全に回避しています。

従来のソフトウェア脆弱性を悪用するのではなく、この作戦は日常的なコミュニケーションツールに偽装した悪意あるスクリプトを被害者に実行させるという手口を取っています。

標的型攻撃は特に暗号資産関連組織、ベンチャーキャピタル企業、ブロックチェーン技術開発者に焦点を絞っており、デジタルウォレットの資産を奪い、業務上のアイデンティティを盗むことを目的としています。

今回の攻撃は同グループの能力が大幅に向上したことを示すものであり、これまで高度にセキュアとみなされていた環境への侵害を続ける強い意志を明確に表しています。

攻撃は、被害者がコンパイル済みのAppleScriptファイルを開いた瞬間に始まります。このファイルはmacOS標準のScript Editorで自動的に起動されます。

ファイルの表示領域には、ユーザーの信頼を得るための通常のアップグレード手順が記された無害なコメントブロックが表示されます。

実際のペイロードを隠すため、悪意あるコードは数千行の空白行によって区切られ、画面に表示されるウィンドウの遥か下方に配置されています。この巧妙な難読化手法により、被害者には正規のソフトウェア通知に見えるものだけが表示されます。

スクリプトが起動されると、標準的なインストールを演出するため、システムアップデートバイナリを使った無害なコマンドが実行されます。

裏では、連鎖的な実行チェーンがネットワークコマンドを利用し、より複雑なペイロードを段階的にシステムメモリへ直接取り込んでいきます。

このステージング処理では、疑惑を避けるために正規ベンダーの命名規則に偽装した複数の隠しコンポーネントが設置されます。

最新のキャンペーン亜種では、ペイロードにMicrosoftやAppleのヘルパーユーティリティを模した名称が付けられており、ユーザープロファイルに自然に溶け込み、単純なウイルス対策スキャンを回避できるようになっています。

マルウェアはさらに、ハードウェアモデルや現在のシステム時刻といった基本的なシステム情報を収集し、外部サーバーに侵害済みデバイスを登録します。

この慎重なステージング処理により、攻撃者はシステム再起動後も密かな永続性を維持することができます。

Microsoftによると、マルウェアはmacOS標準のパスワードダイアログを生成する偽のシステムアップデートアプリケーションを展開します。この偽のプロンプトは、管理者権限を要求する本物のシステム要求と視覚的に全く同一です。

ユーザーがパスワードを入力すると、マルウェアは即座にローカル認証データベースと照合し、その正確性を確認します。

確認済みの認証情報は、自動メッセージングAPIを経由して攻撃者のインフラへただちに送信されます。

その後、別のアプリケーションが偽の完了画面を表示し、被害者が侵害に全く気づかないよう巧妙に誘導します。

機密ファイルを盗むためには、まずデータアクセスにユーザーの同意を必要とするプラットフォームの保護機能を回避しなければなりません。

マルウェアはこれを実現するために、標準のファイルマネージャーにシステムのアクセス権フォルダを一時的にリネームさせ、スクリプトが基礎となるデータベースに不正なアクセスルールを注入できるようにします。

無制限のアクセスが許可されると、攻撃はブラウザプロファイル、デジタルウォレットキー、SSHキー、プライベートアプリケーションのメモを体系的に収集します。

盗まれたデータはすべて、隠しプロセスを使ってバックグラウンドで静かに圧縮・アップロードされます。これにより、調査員が検出できるフォレンジックの痕跡を最小限に抑えた、極めて信頼性の高い感染サイクルが完成します。

注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクを防ぐために意図的にデファング処理(例:[.])されています。MISP、VirusTotal、SIEMなど管理されたスレットインテリジェンスプラットフォーム内でのみ元の形式に戻してください。

翻訳元: https://cyberpress.org/sapphire-sleet-targets-macos-2/

ソース: cyberpress.org