SentinelLabsの新しいレポートによると、北朝鮮の脅威アクターが、認証情報を盗むことを目的としたmacOSマルウェアで暗号資産関連企業を感染させるために新しい手法を展開しています。
研究者らは、2025年4月に朝鮮民主主義人民共和国(DPRK)の脅威アクターによってWeb3および暗号資産関連組織に対して行われた一連の攻撃について分析を提供しました。
北朝鮮関連の攻撃者は、近年大規模な暗号資産強奪事件の多くに関与しているとされており、これは平壌政権の資金調達活動の一環とみられています。
2025年2月には、悪名高いDPRK関連のLazarus GroupがByBit取引所から14億ドル相当の暗号資産を盗みました。
NimDoorマルウェアの展開
新たな分析で、SentinelLabsの研究者は、攻撃者がDPRKアクターに典型的なソーシャルエンジニアリング手法を用いて初期アクセスを獲得していることを観察しました。
アクセスを獲得した後、攻撃者は持続性を確保し、Nimベースのマルウェア「NimDoor」を起動するために新しい戦術・技術・手順(TTPs)を展開しました。
Nimプログラミング言語は、アナリストにとって馴染みが薄いこともあり、macOSマルウェア作成者の間でますます人気が高まっています。
攻撃者が使用したTTPsには、AppleScript、C++、Nimで書かれた多様なスクリプトやバイナリから成る攻撃チェーンが含まれています。
この手法により、防御側による検知がより困難になります。
「北朝鮮系の脅威アクターは以前にもGoやRustを使い、スクリプトとコンパイル済みバイナリを組み合わせた多段階の攻撃チェーンを試みていました」と研究者は述べています。
「しかし、Nimのコンパイル時に関数を実行できるという独特の特性により、攻撃者は複雑な挙動をバイナリ内に紛れ込ませることができ、開発者のコードとNimランタイムコードが関数レベルでも混在するバイナリが生成されます」とSentinelLabsの研究者は述べています。
通信とシグナル割り込みにwssを使用することで、セキュリティ対策を回避する設計となっています。wssはWebSocketプロトコルのTLS暗号化バージョンです。
研究者らは、Nimのようなあまり知られていないプログラミング言語の理解と、それらを活用した攻撃への防御方法の研究に投資するようアナリストに促しました。
初期のNim攻撃チェーン
7月2日に公開されたブログでは、4月の攻撃がDPRKアクターに典型的なソーシャルエンジニアリング手法、すなわちTelegram上で信頼できる連絡先を装い、Calendly経由でミーティングの予定を提案する方法で始まったことが観察されました。
ターゲットにはその後、Zoomミーティングリンクと「Zoom SDKアップデートスクリプト」を実行するよう指示が書かれたメールが送信されました。
そのドメインには、実際の機能を隠すために大量の無意味なデータで埋められた悪意あるAppleScriptファイルがホストされていました。
スクリプトの最後には、コマンド&コントロール(C2)サーバーから第2段階のスクリプトを取得・実行する3行の悪意あるコードが含まれていました。
続くスクリプトは、正規のZoomリダイレクトリンクを含むHTMLファイルをダウンロードします。実行されると、このファイルが攻撃の中核ロジックを起動します。
多段階感染プロセス
研究者らは、NimDoorマルウェアの複雑な多段階展開プロセスを観察しました。これには様々な言語で書かれたスクリプトやバイナリが含まれます。
まず、2つのMach-Oバイナリがダウンロードされ、2つの独立した実行チェーンが開始されます。
1つ目はC++でコンパイルされたユニバーサルアーキテクチャのMach-O実行ファイルで、複数のブラウザからデータを流出させるための2つのBashスクリプトを取得することを目的としています。
2つ目の実行チェーンは、NimソースコードからコンパイルされたユニバーサルMach-O実行ファイルであるインストーラーバイナリから始まります。この実行ファイルは、脅威アクターの長期的なアクセスとリカバリーを実現する役割を担っています。
これにより、被害者のシステム上にGoogIe LLCとCoreKitAgentという2つのバイナリがドロップされます。
GoogIe LLC(小文字のlではなく大文字のIを使うスペルミス)は、マルウェアが紛れ込み疑われにくくするための工夫です。
GoogIeはmacOSのLaunchAgentを設定し、ログイン時にGoogIe LLCを再起動し、後続の段階で使用する認証キーを保存します。
CoreKitAgentは、分析されたバイナリの中で最も技術的に複雑であり、SIGINT/SIGTERMシグナルハンドラを利用して、マルウェアが終了されたりシステムが再起動された際に持続性を確保します。
これらはユーザーがプロセスを終了させるために送信できるシグナルですが、CoreKitAgentがこれらのシグナルを受け取ると、GoogIe LLCを再展開する再インストールルーチンが起動します。
CoreKitAgentはまた、持続性のためのLaunchAgentと、自身のコピー(トロイの木馬)も書き込みます。
「この挙動により、ユーザーによるマルウェアの終了操作があっても中核コンポーネントが再展開され、基本的な防御策に対しても耐性が得られます」と研究者は指摘しています。
最後に、CoreKitAgentのストリップ版に埋め込まれたAppleScriptがデコードされ、起動されます。
実行されると、このスクリプトは30秒ごとにC2インフラにビーコン信号を送り、被害者マシン上で稼働中の全プロセスのリストから取得したデータの送信を試みます。
翻訳元: https://www.infosecurity-magazine.com/news/north-korea-crypto-macos-malware/