マイクロソフト脅威インテリジェンスは、北朝鮮の国家支援脅威アクターであるSapphire Sleetが組織した高度なmacOSキャンペーンを公開しました。このキャンペーンは、欺瞞的なZoom SDK更新プログラムを使用して、対象となるユーザーの認証情報、暗号資産、および機密個人データを盗むことを目的としています。
ソフトウェアの脆弱性を悪用する代わりに、このキャンペーンはソーシャルエンジニアリングに完全に依存しており、被害者にマルウェアを手動で実行させ、macOSの組み込みセキュリティ保護を静かに回避させます。
Sapphire Sleetは少なくとも2020年3月以来活動しており、主に暗号資産、ベンチャーキャピタル、およびブロックチェーン組織をターゲットにしており、十分に記録されたソーシャルエンジニアリングの手法に従っています。
脅威アクターはLinkedInおよび他のプロフェッショナルネットワーキングプラットフォーム上で偽造リクルータープロフィールを作成し、標的に架空の求人機会を提供し、模擬技術面接をスケジュールし、その後、被害者に正規のビデオ会議ツールまたはソフトウェア開発者キット(SDK)更新プログラムと思われるものをインストールするよう指示します。
このキャンペーンでは、被害者はZoom SDK Update.scptという名前のファイルをダウンロードするよう指示されました。これはコンパイルされたAppleScriptであり、macOS Script Editorでデフォルトで開きます。Script Editorはアップルの信頼できるファーストパーティ製アプリケーションで、任意のシェルコマンドを実行できます。
悪意のあるスクリプトは、本物のZoom SDK更新プログラムになりすまし、上部に無害に見えるアップグレード指示の大きなおとりコメントブロックを表示するように作成されています。
認証情報の盗難以上に、このキャンペーンは長期的なアクセスを維持するために複数のバックドアを展開します。
servicesという名前のプライマリバックドアがcom.apple.cliと呼ばれるホスト監視コンポーネントとともにインストールされます。このコンポーネントは脅威アクターのコマンドアンドコントロール(C2)サーバー(83.136.208[.]246:6783)にビーコンを送信します。
追加のバックドアであるiCloudとcom.google.chrome.updatersが展開され、正規のAppleおよびGoogleファイルになりすますために設計された命名規則を使用しています。
起動デーモン設定ファイルは、ユーザーがログインしていない場合でも、システムの再起動時に自動実行を確保します。
ブラウザのIndexedDBに保存されている暗号通貨ウォレット拡張データが選別されてターゲットにされており、非常に意図的で経済的に動機付けられた作戦を反映しています。
Appleはその後、XProtect署名とApple Safe Browsing保護をSafariに展開し、このキャンペーンにリンクされたマルウェアとインフラストラクチャを検出してブロックするようにしました。macOSデバイスはこれらの更新を自動的に受け取ります。
暗号資産、デジタル資産、および金融セクターの組織と個人は、未承認のリクルーターからのアクセスに対して特に注意深くあること、ソフトウェア更新リクエストのソースを確認すること、およびすべてのmacOSデバイスが最新のセキュリティ更新プログラムを実行していることを確認することをお勧めします。
翻訳元: https://cyberpress.org/fake-zoom-update-malware-2/
