出典: Alamy Stock PhotoのEdwin Remsberg
北朝鮮の脅威アクターがClickFixの亜種を使用してmacOSユーザーを狙い、彼らの最も価値のあるデータを盗んでいます。
マイクロソフト脅威インテリジェンスは本日、北朝鮮の脅威アクターに起因するmacOS重視のサイバーキャンペーンを明らかにする研究を発表しました。追跡対象はSapphire Sleetです。北朝鮮に起因する多くのキャンペーンと同様に、攻撃はソーシャルエンジニアリング、特にClickFixスタイルの手法に依存しています。
ClickFixはこの1年間で目立つようになったソーシャルエンジニアリング戦術です。最も一般的には、攻撃者がホストするウェブサイトまたは仮想会議(ZoomやTeamsなど)に対象を招待することで機能しますが、その後、対象は解決する必要がある技術的な問題があると知らされます。ファイルをインストールするか、シェルコマンドを実行する必要があります。ただし、実際には技術的な問題は存在せず、ユーザーは攻撃者インフラストラクチャに接続させられるか、悪意のあるバイナリをインストールさせられます。
マイクロソフトのグローバル脅威インテリジェンス部門のゼネラルマネージャーであるSherrod DeGrippoは、ClickFixがこれほど効果的である理由は、ユーザーがクリックプロンプト、ツールのダウンロード、指示に従うなどのリモートサポートインタラクションを受け入れるように条件付けられているからだと述べています。「攻撃者はこの親密性を利用して、悪意のある行為を日常的に感じさせ、侵害の重要な瞬間における被害者の懐疑心を低下させます」と彼女は述べています。
世界中の多くの脅威アクターがClickFixを利用するようになりましたが、それは北朝鮮のアクター(Sapphire Sleetなど)のお気に入りになっています。この国家支援グループは、UNC1069、APT38、Stardust Chollimaとして追跡される脅威と重複していると考えられています。Sapphire Sleetは主に暗号資産と知的財産の盗難を通じて北朝鮮政府を財政的に支援することに焦点を当てています。
「このキャンペーンでは、Sapphire Sleetはユーザーが開始した実行を利用して永続性を確立し、認証情報を収集し、従来のmacOSセキュリティ強制の境界外で動作しながら機密データを流出させます」とマイクロソフトのブログ投稿に記載されています。
このmacOS ClickFix攻撃がどのように機能するか
説明されたアクティビティについて、研究者はSapphire Sleetがソーシャルメディアと専門家向けネットワーキングプラットフォーム上に偽りの採用担当者プロフィールを作成し、求人機会を装って対象を直接関与させ、その後技術面接をスケジュールしていると述べました。
「面接官」は次に、対象に「Zoom SDK Update.scpt」という名前のZoom SDKアップデートをインストールするように指示します。これは、macOSスクリプトエディタでデフォルトで開く、コンパイルされたAppleScriptファイルです。その後、ユーザーは「スクリプトを実行」ボタンをクリックするように指示されます。
一般的に悪意のあるシェルコマンドを対象のクリップボードにコピーして、対象自体に貼り付けるように指示するWindowsに焦点を当てたClickFix攻撃とは異なり、このmacOS亜種はファイルを開いて任意のコードを実行することに依存しています。
「SDKアップデート」は複数段階のペイロードチェーンをトリガーし、複数のAppleScriptペイロードを実行するためにcurlコマンドを使用します。これには、攻撃オーケストレーションビーコン、認証情報ハーベスター、データスティーラー(ウォレット、ブラウザ、キーチェーン、履歴、Apple Notes、Telegramを狙う)、永続性用の複数のバックドア、およびインストールプロセスが完了したことをユーザーに安心させるための偽のプロンプトが含まれます。
流出前に、ペイロードチェーンはAppleの透明性、同意、制御(TCC)セキュリティフレームワーク(特定のアクションを実行する前にユーザーの同意を強制するために使用される)をバイパスすることに成功します。攻撃者はTCCプロセスに関連付けられた重要なファイルの名前を変更し、ステージング位置に持ってきて、データベースアクセステーブルに新しいエントリを挿入し、ユーザープロンプトがトリガーされることを防止します。変更されたデータベースは元のフォルダにコピーされ、元の名前で元の場所に移動されます。
Sapphire Sleetから防御するために、マイクロソフトは組織がソーシャルエンジニアリング攻撃とClickFix攻撃の仕組みについてユーザーを教育すること; インターネットからダウンロードされた.scptファイルと署名のないMach-Oバイナリの実行をブロックまたは制限すること; 機密データのコピーと貼り付けの際に注意を払うこと; および暗号資産ウォレットとブラウザの認証情報ストアを保護することを推奨しています。ブログ投稿には侵害の指標も含まれています。
マイクロソフトはキャンペーンの詳細をAppleに報告し、Appleはこのキャンペーンに関連するインフラストラクチャとマルウェアを検出・ブロックするための更新を「実装している」と述べました。
最新のDark Reading Confidentialポッドキャストをお見逃しなく、 セキュリティボスたちはAIに全力投球:その理由とは。RedditのCISO Frederick LeeとOmdia分析家Dave Gruberが、SOCにおけるAIと機械学習、成功した導入事例(またはその失敗)、およびAIセキュリティ製品の将来について論じています。 今すぐリッスン!
翻訳元: https://www.darkreading.com/application-security/north-korea-clickfix-target-macos-users-data
