コンテンツにスキップするには Enter キーを押してください

北朝鮮のmacOS向け「NimDoor」マルウェアがWeb3および暗号資産プラットフォームを標的に

投稿日 2025年7月8日

A MacBook Pro with macOS

出典:laboratory / Alamy Stock Photo

北朝鮮による脅威キャンペーンが、macOS専用マルウェア「NimDoor」を用いてWeb3および暗号資産プラットフォームを標的にしています。

これは、SentinelOneのSentinelLABS脅威調査チームのPhil Stokes氏とRaffaele Sabato氏によるもので、7月2日にNimというクロスプラットフォームのプログラミング言語でコンパイルされたバイナリを利用したmacOS専用の脅威キャンペーンについてブログ記事で詳述しています。

朝鮮民主主義人民共和国(DPRK)と関連する脅威アクターは、ソーシャルエンジニアリング戦術とTelegramメッセージングプラットフォームを利用し、Web3および暗号資産分野の標的に偽の「Zoom SDKアップデートスクリプト」を実行するよう指示し、感染チェーンを開始させます。最終的にこのマルウェアは、Telegramのユーザーデータ、ブラウザデータ、Apple Keychainの認証情報を盗み出します。

このキャンペーンは新しいものですが、これに類似したものは以前にも確認されています。例えば、昨年夏、セキュリティ研究者のPatrick Wardle氏は、北朝鮮の脅威アクターがビデオ通話サービスMicrotalkを偽装してmacOS向けインフォスティーラーを配布した方法について説明しました。また、北朝鮮に特有のものではありませんが、Cado Securityは昨年8月、ブラウザの認証情報や暗号資産ウォレットを狙うmacOS向けインフォスティーラーについて報告しています。

SentinelOneはまた以前に、DPRKの脅威アクターが就職面接を装って標的にmacOSマルウェアをインストールさせるキャンペーンについても詳述しています。これは、北朝鮮IT労働者詐欺の増加とは混同しないよう注意が必要です。

SentinelOneの調査は、4月にHuntabil.ITによって公開された先行調査や、Huntressによる先月の調査など、過去の研究にも一部基づいています。

NimDoorの仕組み

Stokes氏とSabato氏によると、攻撃の流れは、脅威アクターが標的の信頼するTelegramの連絡先になりすまし、Calendlyでのミーティングを提案することから始まります。標的にはZoomミーティングのリンクとともに、「Zoom SDKアップデートスクリプト」をインストールするよう指示が送られます。

このスクリプト「zoom_sdk_support.scpt」は、多くの空白でパディングされており、最後の3行(コマンド&コントロールサーバーから「第2段階スクリプト」を取得・実行する悪意あるコード)を難読化しています。

コマンド&コントロール用ドメインもZoomサポートのリンクに似せて作られています。さらに、Stokes氏とSabato氏はブログで「続くスクリプトはcheckというHTMLファイルをダウンロードし、そこには正規のZoomリダイレクトリンクが含まれている」と述べています。

一度脅威アクターが侵入すると、複数のバイナリがインストールされます。マルウェアの動作の一部はキャンペーンごとに異なりますが、攻撃の主な構成要素は、情報窃取(ブラウザデータ、Keychainデータ、Telegramユーザーデータ)と、長期的な持続性の確保に分かれます。

防御側へのポイント

Stokes氏とSabato氏は、NimDoorに関する複数の独自の特徴を強調しています。例えば、「マルウェアが終了したりシステムが再起動された際に、SIGINT/SIGTERMシグナルハンドラを利用して持続性を確保するメカニズム」や、「プロセスインジェクション技術、wss(TLSで暗号化されたWebSocketプロトコル)によるリモート通信」などです。後者は特にmacOSマルウェアとしては珍しいと研究者らは述べています。

Stokes氏とSabato氏は、NimDoor全体を通じて、脅威アクターがクロスプラットフォームのプログラミング言語を「アナリストにとって新たな複雑性をもたらす方法」で活用していることを浮き彫りにしていると結論づけています。

Stokes氏はメールでDark Readingに対し、防御側はブログ記事に記載された侵害指標を確認し、信頼できるエンドポイント保護を利用していることを確認すべきだと述べています。さらに、すべてのソーシャルエンジニアリングキャンペーンに共通することとして、防御側は一般的な攻撃手法に注意を払うべきです。

「エンドユーザーやWeb3・暗号資産分野で働く方は、特にTelegramなどのソーシャルメディア経由で連絡先から送られてくる、予期しないミーティングの提案には注意を払うべきです」とStokes氏は述べています。「そのようなミーティングのためにソフトウェアのアップデートやダウンロードを求められた場合は、警戒すべきサインと考えてください。」

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/dprk-macos-nimdoor-malware-web3-crypto-platforms

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です