TokyoBlackHatNews

darkreading.com 4分で読了

DPRKのFlexibleFerret、macOSへの影響を強化

岩の上に座っているフェレット

出典:Couperfield / Shutterstock

FlexibleFerretとして知られるマルウェアファミリーの北朝鮮関連オペレーターは、偽の求人ワークフローを使ってmacOSユーザーを標的とする認証情報窃取キャンペーンを引き続き改良・適応させています。

Jamf Threat Labsによる最近のキャンペーン分析では、脅威アクターがますます本物らしい求人誘導を使い、ユーザーにmacOSのコマンドラインインターフェースであるターミナルで悪意のあるコマンドを実行させる手口が明らかになりました。

感染性インタビューキャンペーン

Jamfの分析によると、脅威アクターは最近の攻撃でアーキテクチャ認識ロジック(IntelまたはAppleシリコン)、デコイアプリケーション、より信頼性の高い永続化メカニズムを備えた更新版シェルローダーを展開していました。また、Goベースのバックドアもアップデートされ、より多くのコマンド対応、データ流出機能の強化、以前のキャンペーンのサンプルと比べてよりクリーンな構造となっています。

他のセキュリティベンダーや研究者による過去の報告(SentinelOneValidinなど)では、FlexibleFerretがDPRK(北朝鮮)系アクターに関連付けられており、”感染性インタビュー“と呼ばれる詐欺(標的が採用プロセスを案内され、最終的にマルウェアを実行させられる)に関与しているとされています。

「このキャンペーンは、FlexibleFerretがmacOS上で依然としてアクティブな脅威であり、説得力のある求人誘導を利用して、偽の採用フローからターゲットをターミナルで攻撃者提供のコマンドを実行させる方向に誘導し、Gatekeeperなどの組み込み保護を回避していることを示しています」とJamfは今週のレポートで述べています。

現在進行中のキャンペーンの中心となっているのは、正規の「採用評価ポータル」を模倣した複数の求人テーマのウェブページです。Jamfのレポートで例として挙げられているドメイン「evaluza dot com」では、「ブロックチェーンキャピタルオペレーションマネージャー」などの役職の正式なオンライン評価のように見せかけています。JavaScriptステージャーが事前定義リストから職種や会社名を動的に選択し、各訪問者に合わせてカスタマイズされたページを表示する仕組みです。その後、サイトはユーザーにビデオ自己紹介などのタスクを求め、架空のカメラやマイクのアクセス問題を解決するためとしてターミナルコマンドの実行を要求します。

組み込み保護の回避

macOSの組み込みセーフガードやアプリ検証メカニズムを回避するため、脅威アクターはユーザー自身に感染プロセスを引き起こすcurlコマンドをターミナルに手動で貼り付けさせます。実行されると、シェルスクリプトは着地したシステムがIntelかApple CPUかを判別し、適切な二段階目のペイロードを取得します。

Jamfが発見したDPRKアクターの新たな戦術のひとつは、「MediaPatcher.app」と呼ばれる署名付きデコイアプリケーションです。これを開くと、偽のmacOS風カメラ権限リクエストが表示され、その後Chrome風のシステムパスワード入力画面が現れます。裏ではこの悪意あるアプリが認証情報を収集し、Dropboxアカウントへ流出させます。

Go言語ベースのバックドア自体が最終段階のペイロードです。その機能は、ハードコードされたコマンド&コントロール(C2)サーバーに接続し、攻撃者のために悪意のあるコマンドを受信・実行することです。Jamfは、このバックドアが以前のバージョンより多くのコマンドに対応していることを確認しており、システム情報の収集、ファイルのアップロード・ダウンロード、ブラウザからのデータ収集、キーチェーン情報の抽出などが可能です。

FlexibleFerretキャンペーンは、特に求職中のmacOSユーザー認証情報窃取を狙ったソーシャルエンジニアリングキャンペーンの格好の標的であることを思い起こさせます。また、脅威アクターが悪意あるファイルに対するシステム組み込み保護を回避するため、ユーザー自身に直接インストール・実行させようとしていることも浮き彫りにしています。

「私たちの分析は、JavaScriptステージャーがよく知られた多段階攻撃に関連していることを示しており、脅威アクターが正規に見えるプロセスに溶け込むようソーシャルエンジニアリングを継続的に洗練させていることが分かります」とJamfは述べています。「組織は、未承諾の『面接』評価やターミナルベースの『修正』指示を高リスクと見なし、ユーザーがこれらのプロンプトに遭遇した際には立ち止まり、報告するよう徹底すべきです。こうした脅威は今後も増加し続けるでしょう。」

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/dprks-flexibleferret-tightens-macos-grip

ソース: darkreading.com
#2025年サイバー攻撃 #AIマルウェア #Atomic macOS Stealer #DPRK #EAGLETバックドア #FlexibleFerret #Jamf Threat Labs #ソーシャルエンジニアリング #偽採用詐欺 #認証情報窃取

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開