TokyoBlackHatNews

bleepingcomputer.com 5分で読了

北朝鮮ハッカーが暗号資産窃取攻撃で新しいmacOSマルウェアを使用

Image

北朝鮮のハッカーが、AI生成動画とClickFix技術を使用したカスタマイズされたキャンペーンを展開し、暗号資産セクターの標的に対してmacOSおよびWindows向けマルウェアを配信しています。

この脅威アクターの目的は金銭的なものであり、GoogleのMandiant研究者が調査したフィンテック企業への攻撃で使用されたツールの役割から示唆されています。

対応活動中、研究者は7つの異なるmacOSマルウェアファミリーを発見し、この攻撃を2018年から追跡している脅威グループUNC1069に帰属させました。

感染チェーン

この攻撃には強力なソーシャルエンジニアリング要素があり、被害者は暗号資産企業の幹部の侵害されたアカウントからTelegramメッセージングサービス経由で連絡を受けました。

信頼関係を構築した後、ハッカーは被害者を攻撃者のインフラ上の偽装されたZoomミーティングページに誘導するCalendlyリンクを共有しました。

標的によると、ハッカーは別の暗号資産企業のCEOのディープフェイク動画を見せたとのことです。

「『ミーティング』に入ると、偽のビデオ通話により、エンドユーザーに音声の問題が発生しているという印象を与える策略が実行されました」とMandiant研究者は述べています

この口実のもと、攻撃者はWebページ上に存在するコマンドを使用して問題をトラブルシューティングするよう被害者に指示しました。Mandiantは、感染チェーンを開始するWindowsとmacOS両方のコマンドをページ上で発見しました。

Huntressの研究者は2025年半ばに類似の攻撃手法を文書化し、それを別の北朝鮮の敵対者であるBlueNoroffグループ(Sapphire SleetまたはTA44としても知られる)に帰属させました。このグループは異なるペイロードセットを使用してmacOSシステムを標的にしていました。

macOSマルウェア

Mandiantの研究者は、感染チェーン開始後のAppleScript実行の証拠を発見しましたが、ペイロードの内容を回収することはできず、その後悪意のあるMach-Oバイナリが展開されました。次の段階で、攻撃者は7つの異なるマルウェアファミリーを実行しました:

  1. WAVESHAPER – バックグラウンドデーモンとして実行されるC++バックドアで、ホストシステム情報を収集し、curlを使用してHTTP/HTTPS経由でC2と通信し、後続のペイロードをダウンロードして実行します。
  2. HYPERCALL – RC4暗号化された設定ファイルを読み取り、TCP 443でWebSocket経由でC2に接続し、悪意のある動的ライブラリをダウンロードしてメモリに反射的にロードするGolangベースのダウンローダー。
  3. HIDDENCALL – HYPERCALLによって反射的に注入されるGolangベースのバックドアで、キーボード直接アクセスを提供し、コマンド実行とファイル操作をサポートし、追加のマルウェアを展開します。
  4. SILENCELIFT – ホスト情報とロック画面ステータスをハードコードされたC2サーバーにビーコン送信する最小限のC/C++バックドアで、root権限で実行された場合にTelegram通信を中断できます。
  5. DEEPBREATH – HIDDENCALLを介して展開されるSwiftベースのデータマイナーで、TCCデータベースを変更することでmacOS TCC保護をバイパスして広範なファイルシステムアクセスを取得し、キーチェーン認証情報、ブラウザデータ、Telegramデータ、Apple Notesデータを窃取します。
  6. SUGARLOADER – RC4暗号化された設定を使用して次段階のペイロードを取得するC++ダウンローダーで、手動で作成された起動デーモンを介して永続化されました。
  7. CHROMEPUSH – SUGARLOADERによって展開されるC++ブラウザデータマイナーで、Google Docs Offline拡張機能になりすましたChromiumネイティブメッセージングホストとしてインストールされ、キーストローク、認証情報、Cookie、およびオプションでスクリーンショットを収集します。
Image
攻撃チェーンの概要
出典: Mandiant

発見されたマルウェアの中で、SUGARLOADERがVirusTotalスキャンプラットフォームで最も多くの検出があり、次いでWAVESHAPERがわずか2つの製品によってフラグ付けされています。残りはプラットフォームのマルウェアデータベースに存在しません。

Mandiantは、SILENCELIFT、DEEPBREATH、およびCHROMEPUSHがこの脅威アクターにとって新しいツールセットであると述べています。

研究者は、単一の個人に対してホスト上に展開されたマルウェアの量を異常だと説明しています。

これは、2つの理由で可能な限り多くのデータを収集することに焦点を当てた標的型攻撃を確認します:「暗号資産の窃取と、被害者のアイデンティティとデータを活用することによる将来のソーシャルエンジニアリングキャンペーンの促進」とMandiantは述べています。

2018年以来、UNC1069は新しい技術とツールを採用することで進化する能力を実証してきました。2023年には、この悪意のあるアクターはWeb3業界(中央集権型取引所、開発者、ベンチャーキャピタルファンド)の標的に切り替えました。

昨年、この脅威アクターは、決済、証券仲介、ウォレットインフラストラクチャなどの業種における金融サービスおよび暗号資産業界に標的を変更しました。

翻訳元: https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-macos-malware-in-crypto-theft-attacks/

ソース: bleepingcomputer.com
#macOSマルウェア #Mandiant #UNC1069 #Zoom詐欺 #サイバー脅威 #ソーシャルエンジニアリング #ディープフェイク #マルウェア分析 #北朝鮮ハッカー #暗号資産盗難

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用