このキャンペーンは、侵害されたTelegramアカウント、偽のZoomミーティング、AI支援による欺瞞を使用して、被害者を騙してターミナルコマンドを実行させ、macOS感染チェーンに導いた。
UNC1609として追跡されている金銭目的の脅威アクターが、ClickFix形式のソーシャルエンジニアリングキャンペーンを使用して、暗号資産関連組織に対して複数のmacOSマルウェアファミリーを展開している。
Google CloudのMandiantによる新しい調査によると、この活動は最近、暗号通貨と分散型金融(DeFi)セクターで事業を展開する企業の従業員を標的にした。研究者らは、北朝鮮に関連するUNC1069が、ハイジャックされたTelegramアカウント、偽のZoomミーティング、ClickFix形式のコマンド実行、およびAI生成ビデオを使用して被害者を欺くソーシャルエンジニアリングチェーンを使用したと述べた。
既知の業界連絡先になりすまし、偽のビデオ会議を演出することで、脅威アクターは被害者を説得し、macOSシステム上で悪意のあるターミナルコマンドを手動で実行させた。
初期アクセスとしてのClickFix
攻撃は、正規の業界幹部に属する侵害されたアカウントから被害者がTelegram経由で連絡を受けることから始まった。信頼性を確立した後、攻撃者は脅威アクターが管理するインフラストラクチャでホストされているビデオ会議にターゲットを招待した。
会議中、被害者は暗号通貨業界から認識可能な個人のように見える人物を見たと報告されている。研究者らは、このビデオが正当性を強化するために人工的に生成または操作された可能性があると評価した。通話開始直後、攻撃者は音声の問題があると主張し、被害者にトラブルシューティング手順を実行するよう指示した。
これらの手順には、macOSターミナルにコマンドをコピー&ペーストすることが含まれていた。1つのコマンドは「curl」を「zsh」にパイプで渡すもので、事実上リモートスクリプトをダウンロードして実行していた。この行動が感染チェーンを開始した。
Mandiantは、この攻撃以外でも同様の戦術を観察したと述べた。「回収されたWebページは、”トラブルシューティング”のために実行する2セットのコマンドを提供していた:1つはmacOSシステム用、もう1つはWindowsシステム用だ」と研究者らは指摘した。「Mandiantは、UNC1069がこれらの技術を使用して、ソフトウェア企業とその開発者、ベンチャーキャピタル企業とその従業員や幹部を含む、暗号通貨業界内の企業と個人の両方を標的にしていることを観察している。」
UNC1069は、GoogleGeminiのようなツールを使用してツールを開発し、運用調査を実施し、偵察段階で支援することが知られている、と彼らは付け加えた。
特殊化された未文書化のmacOSマルウェアの使用
ClickFixによってトリガーされたアクセスが確立された後、UNC1069は、MandiantがWAVESHAPER、HYPERCALL、HIDDENCALL、DEEPBREATH、CHROMEPUSHなどを含むと特定した多段階のmacOSマルウェアスタックを展開した。これらのマルウェアファミリーのいくつかは、Mandiantの開示前に公に文書化されていなかった。
WAVESHAPERは主要なバックドアとして機能し、リモートアクセスを確立し、追加のペイロード配信を可能にした。HYPERCALLはダウンローダーとして動作し、さらなるコマンド実行機能を提供するHIDDENCALLなどの二次コンポーネントを取得した。この段階的な展開により、脅威アクターは単一の大きなペイロードをドロップするのではなく、段階的に侵害されたmacOSシステムの制御を拡大できた。
DEEPBREATHは、Swiftベースの情報窃取ツールで、ホストから機密データを収集することに焦点を当てていた。研究者によると、Appleの透明性、同意、および制御(TCC)フレームワークを操作して、ユーザーにプロンプトを表示せずに保護されたリソースにアクセスした。これにより、ブラウザデータ、キーチェーンマテリアル、メッセージングコンテンツの収集が可能になった。一方、CHROMEPUSHは、セッションCookieや認証トークンを含むブラウザ環境を標的にした。
研究者らはまた、AppleのXProtectシステムの機能を含む、macOSセキュリティメカニズムの悪用も観察した。保護をすぐに無効化するのではなく、マルウェアは信頼されたシステムコンポーネントと予想される動作を活用して、検出の可視性を低下させた。
Mandiantは、カスタムで統合されたツールスイートの使用が、特殊化された機能とセキュリティバイパスにおけるUNC1069の技術的熟練度を示していると述べた。検出作業を支援するために、ネットワークベースおよびホストベースの侵害指標(IOC)のリストを提供した。さらに、この開示には、Google SecOpsでもサポートされているYARAルールのセットが含まれていた。
