北朝鮮の脅威アクター「Sapphire Sleet」によって組織された高度なmacOS標的のサイバーキャンペーンで、従来のソフトウェア脆弱性悪用から社会工学的手法へのシフトが明らかになった。
脆弱性に頼る代わりに、攻撃者は正規のソフトウェア更新に偽装した悪意あるファイルの実行をユーザーにトリックして誘い、Appleの組み込みセキュリティ保護を効果的に回避している。
このキャンペーンは「Zoom SDK Update.scpt」という偽造ファイルを中心としており、ルーチン更新として提示されたコンパイル済みAppleScriptである。被害者は通常、プロフェッショナルネットワークプラットフォーム上の偽造採用担当者プロファイルを通じてアクセスされ、段階的なインタビュープロセスを通じてガイドされる。
ワークフローの一部として、彼らは悪意あるファイルをダウンロードして開くよう指示され、これはAppleの「Script Editor」で起動します。これはシステムレベルのコマンドを実行できる信頼されたネイティブアプリケーションです。
スクリプトは無害に見えるように綿密に作成されている。正規の更新手順を模倣するおとり内容で始まり、その後に実際の悪意あるコードを見つけにくくするために数千の空行が続く。
Microsoft脅威インテリジェンスは、北朝鮮の脅威アクター「Sapphire Sleet」によるmacOS標的のサイバーキャンペーンを発見した。
実行されると、スクリプトは正当性を強化するために無害なシステムプロセスを呼び出した後、curlなどのコマンドラインツールを使用して追加のペイロードを静かにダウンロードします。
これらのペイロードはosascriptを介してメモリで実行され、攻撃者はディスクへのファイル書き込みを回避し、検出を逃れることができます。
悪意あるSDKの偽造品がmacOSユーザーを標的に
この多段階感染チェーンにより、Sapphire Sleetは永続性を確立し、偵察を実施し、複数のバックドアをデプロイできます。
com.apple.cliという名前のシステムプロセスに偽装された1つの重要なコンポーネントは、継続的にシステム情報を収集し、攻撃者が制御するインフラストラクチャと通信します。
別のコンポーネントはlaunch daemonsを使用して永続的なアクセスをインストールし、システムの再起動後もマルウェアがアクティブなままであることを確認します。
入力されると、パスワードはローカルで検証され、Telegram APIを介してすぐに流出され、攻撃者に検証済みの認証情報を与えて、さらなる悪用を行えます。2番目のおとりアプリは、疑いを減らし、幻想を完成させるために、偽の「更新完了」メッセージを表示します。
mid値はデバイスの汎用一意識別子(UUID)を表し、didはキャンペーンレベルの追跡識別子として機能し、userフィールドはシステムホスト名とデバイスシリアル番号を組み合わせます。
アクセスを拡張するために、マルウェアはTCCデータベースを変更することによってmacOS Transparency、Consent、and Control(TCC)保護を操作します。
これにより、許可されていないAppleScript操作が、ユーザープロンプトをトリガーしないで機密システムコンポーネントと対話できるようになります。
Sapphire Sleetが偽造Zoom SDKを悪用
これらのアクセス許可がある場合、攻撃者はブラウザデータ、暗号資産ウォレット、SSHキー、Telegramセッション、Apple Notes、およびシステムログを対象とする大規模なデータ収集ルーチンを実行します。
認証情報の盗用はキャンペーンで中心的な役割を果たします。「systemupdate.app」という名前の悪意あるアプリケーションは、正規のシステムダイアログに非常に似た偽造macOSパスワードプロンプトを被害者に提示します。
このキャンペーンは、ウォレット拡張機能とキー素材を特に対象としているため、暗号資産と金融に関わる個人および組織にとって特に危険です。
この侵入チェーンは、macOSユーザーにとっての重大な現実を浮き彫りにしています:完全にパッチが当てられたシステムでさえ、ユーザーが悪意あるアクションを開始することを欺かれると脆弱なままです。
認証情報の収集とデータ流出を組み合わせることで、Sapphire Sleetはデジタル資産と機密アカウントへの直接アクセスを取得できます。
Microsoftはその調査結果をAppleと共有しました。Appleはその後、関連するマルウェアとインフラストラクチャを検出およびブロックするためのXProtect署名とSafe Browsing更新をデプロイしました。
これらの保護にもかかわらず、このキャンペーンは、攻撃者がソフトウェアの欠陥を悪用するのではなく、ユーザーの信頼と正規のシステムツールに依存する増加傾向を強調しています。
脅威アクターが社会工学的なタクティクスを洗練させ、信頼されたアプリケーションを悪用するにつれて、セキュリティはますますプラットフォーム保護にのみ依存するのではなく、ユーザーの認識、厳格な実行制御、および階層化された防御戦略に依存するようになります。
翻訳元: https://gbhackers.com/fake-zoom-sdk-update/
