北朝鮮の犯罪者たちがAppleユーザーの認証情報と暗号資産の盗難を目的としており、ソーシャルエンジニアリングと偽のZoomソフトウェア更新を組み合わせて、ユーザーに自分のコンピューター上でマルウェアを手動で実行させるようだましている、とMicrosoftが発表しました。
Redmondの脅威インテリジェンスチームは、平壌からの支援を受けた犯罪集団をSapphire Sleet(別名APT38)として追跡しています。Lazarus Groupの分派は2020年以降から活動しており、主に金融セクターを標的に暗号資産ウォレットと暗号資産取引およびブロックチェーンプラットフォーム関連の知的財産の盗難を目的としています。
これらの攻撃はソーシャルエンジニアリングから始まります。犯罪集団はLinkedInなどのソーシャルメディアおよびネットワーキングプラットフォーム上に偽りのリクルータープロフィールを作成し、その後、金融専門家に架空の求人機会を持ちかけ、技術インタビューをスケジュール設定します。これはマルウェアの配信メカニズムです。
また、彼らは他の多くのソーシャルエンジニアリング対応の侵入に続いており、その中には北朝鮮と関連する攻撃者がAxiosのメンテナーをソーシャルエンジニアリングし、彼のアカウントを侵害し、リモートアクセストロイの木馬を含むオープンソースJavaScriptライブラリの悪意のあるバージョンを公開した場合も含まれます。
「ソーシャルエンジニアリングにより、攻撃者はユーザーに代わって行動するよう説得することで、強化された境界線を迂回でき、人間が脆弱性になります。これは低コストで、パッチが困難で、スケーラビリティが高い」とMicrosoftのグローバル脅威インテリジェンス担当ジェネラルマネージャーであるSherrod DeGrippoがThe Registerに語りました。
「ユーザーはツールのダウンロード、指示に従う、プロンプトをクリックするなどのリモートサポートインタラクションを受け入れるよう習慣づけられている」と彼女は付け加えた。「攻撃者は、この親しみやすさを利用して、悪意のある行動を日常的に見せ、侵害の重要な瞬間における被害者の懐疑心を低下させます。」
最新のキャンペーンでは、Sapphire Sleetは被害者に偽のZoomサポート会議招待を送信し、その後、Zoom SDK Update.scptという名前のファイルをダウンロードするよう指示します。これはmacOSスクリプトエディターで既定で開くコンパイルされたAppleScriptで、合法的なZoom SDK更新のように見え、実際のソフトウェア更新のように見えるようにするための更新指示の大きなコメントブロックで始まります。
不正なApple(Script)コマンド
デコイコンテンツの下に、スクリプトは数千の空白行を挿入して、悪意のあるロジックをスクリプトエディターウィンドウのスクロール可能なビューの下に押し下げ、被害者がそれに気付く可能性を減らします。最初に、合法的なmacOS softwareupdate バイナリを呼び出すコマンドを起動しますが、無効なパラメーターを使用します。これは本質的には何もしませんが、信頼されたApple署名されたプロセスを起動して、ソフトウェア更新を合法的に見せます。
次に、スクリプトはcurl経由で悪意のあるペイロードを実行して、スクリプトエディターのコンテキスト内で直接起動する新しい攻撃者制御のAppleScriptをフェッチし、追加のペイロードが動的にダウンロードおよび実行されることを保証します。
「ユーザーがZoom SDK Update.scptファイルを開くと、macOSはスクリプトエディターでファイルを起動し、Sapphire Sleetが単一のルアーファイルからマルチステージの動的にフェッチされたペイロードチェーンへの移行を可能にします」とRedmondは木曜日のレポートで説明しました。
「この単一のプロセスから、攻撃全体は、各々がより複雑なAppleScriptペイロードをフェッチおよび実行するcurlコマンドのカスケード連鎖を通じて展開します。各ステージでは、キャンペーン追跡識別子として異なるユーザーエージェント文字列を使用します。」
各curlユーザーエージェントは、攻撃チェーン内で独自の目的を果たす異なるマルウェアをフェッチします。オーケストレーションと被害者のマシンのバックドア処理から、偵察とSapphire Sleetのコマンドアンドコントロール(C2)インフラへの侵害されたシステムの登録、macOS TCC保護の迂回、そして最終的には認証情報の収集と機密データの流出―ウォレット、ブラウザー履歴および他の情報、キーチェーン、Apple Notes、およびTelegramログイン詳細。
キャンペーンの各ステージも、ネイティブAppleツールを不正使用するか、Appleの命名規則を模倣して違法行為を偽装します。例えば、ホストモニタリングバイナリはcom.apple.cliと呼ばれ、5 MB Mach-O実行可能ファイルをAppleスタイルの命名規則でマスクするのに役立ちます。
osascript経由で実行されたAppleScriptペイロードを通じて配信される認証情報スティーラーは、systemupdate.appという名前の悪意のあるmacOSアプリケーションをドロップします。これはソフトウェア更新ユーティリティに偽装し、起動すると、合法的なシステムプロンプトに非常に似たネイティブmacOSパスワードダイアログを表示します。ダイアログはユーザーに「ソフトウェア更新を完了するために」パスワードを入力するよう促し、これによりSapphire Sleetが有効なユーザー認証情報を取得し、Telegram Bot APIを使用して流出させることができます。
さらに、このキャンペーンで使用されるバックドアの1つ―icloudz―は合法的なiCloud関連の成果物を模倣するために名付けられており、また、macOS NSCreateObjectFileImageFromMemory APIを使用して追加のペイロードをメモリに直接ロードします。
MicrosoftはこのキャンペーンをAppleに開示し、macメーカーはそれ以来、「このキャンペーンに関連するインフラストラクチャとマルウェアを検出およびブロックするためのプラットフォームレベルの保護」を実装したと言われています。AppleはThe Registerの問い合わせに応じていません。
ただし、Redmondによると、Appleはこのキャンペーンに関連する悪意のあるインフラストラクチャを検出およびブロックするためにSafariでApple Safe Browsing保護を展開し、またSapphire Sleetにリンクされたマルウェアファミリーを検出およびブロックするためにXProtect署名を展開しました。macOSデバイスはこれらの署名アップデートを自動的に受け取るため、ユーザーの観点からは何もする必要がありません。
組織がこれおよび他のソーシャルエンジニアリングキャンペーンの被害者になることを防ぐためにできる1つのことは、LinkedInおよび他のソーシャルメディアサイトから発生する脅威、特にユーザーにソフトウェアのダウンロードまたは仮想会議ツールのインストールを求める未承諾の通信について、人々を教育することです。
「ユーザーは、ITまたはセキュリティチームからの事前の承認なしに、メッセージ、通話、またはチャット経由で共有されるスクリプトまたはコマンドを実行してはいけません」とRedmondは警告しています。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/16/north_korea_social_engineering_macos/
