北朝鮮関連の脅威アクターUNC1069は、偽造のZoom、Google Meet、Microsoft Teamsミーティングを悪用して、Windows、macOS、Linuxシステム全体の暗号通貨およびWeb3プロフェッショナルを侵害する非常にターゲット化されたキャンペーンを実行しています。
目標は、静かなソーシャルエンジニアリングと多段階的なマルウェア配布を通じて、長期アクセスとデジタル資産の大規模窃盗です。
攻撃者は正当なアカウントをハイジャックし、既存の会話を続行し、Calendlyなどのサービスを使用して「デューディリジェンス」または「パートナーシップ」通話をスケジュールして、信頼できるように見えるようにします。
Bluenoroff/CryptoCoreと重複するUNC1069は、ベンチャーキャピタル企業になりすまし、LinkedIn、Telegram、その他のメッセージングプラットフォームで被害者にアプローチするためによく知られた投資ブランドを使用します。
被害者はZoom、Google Meet、またはMicrosoft Teamsに密接に似ている偽造ミーティングポータルへのリンクを受け取ります。時にはAI生成の完全なまたは以前の被害者や偽装された幹部の再生されたビデオ映像でライブビジネス通話の幻想を強化します。
これらのポータル内で、UNC1069はオーディオ/ビデオの問題や不足しているSDKなどのミーティングの建前を活用して、ユーザーがコマンドを実行したり、想定される更新をインストールしたりするよう圧力をかけます。
ClickFixスタイルの感染
このキャンペーンの中核技術は「ClickFix」スタイルのフローであり、被害者はリアルタイムでターミナルを開くか、昇格されたPowerShellウィンドウを開いて、攻撃者によって提供されるコマンドを貼り付けるよう指示されます。
Windowsでは、これらのコマンドは複数のPowerShellスクリプトを取得します。これにより、さらに難読化されたVBScriptペイロードをダウンロードして実行し、Windows Defenderの除外を変更し、永続性を確立します。
macOSでは、被害者はZoomとして偽装されるMach-Oダウンローダーやシステムコンポーネントを取得するターミナルコマンドを実行するようガイドされます。これらはGatekeeperの属性をバイパスし、アドホックコード署名を適用し、北朝鮮の運用に関連するNukeSpedRATバックドアをフェッチします。
場合によっては、Perlベースのダウンローダーが最初のMach-O段階に置き換わりますが、反復的なHTTPリクエスト、アーカイブダウンロード、検疫削除、コード署名、および偽造「Zoom」アプリケーションバンドルの自動起動の同じパターンを維持します。
VBSステージは、Cabbage RAT(CageyChameleon)の更新されたバリアントと一致します。プロセスの列挙、暗号ウォレットを対象とした可能性が高いChrome拡張機能の発見、およびエンコードされた二次ペイロードを持つC2駆動型タスキングを特徴とします。
Linuxユーザーも例外ではありません。ELFダウンローダーをフェッチし、一時的なワーキングディレクトリを解決し、curlを使用してC2エンドポイントに繰り返しPOSTし、Windows Cabbage バリアントと構成、C2パターン、および復号化ロジックを共有する第2段階のELF RATを実行するスクリプトを開いて実行するようにユーザーに指示されます。
マルウェア配布以外に、UNC1069の偽造ミーティングポータルは秘密監視ツールとして機能します。これらのページ上のJavaScriptは、navigator.mediaDevices.getUserMediaやWebRTC/WebSocketシグナリングなどの標準ブラウザーAPIを悪用して、マイクとカメラストリームをキャプチャします。
セキュリティ研究者は、これらのビデオおよびオーディオ録音は、将来のルアーで再生されたり、AIと組み合わされたりして説得力のあるディープフェイクを生成する可能性があり、後続のソーシャルエンジニアリング試行をより検出しにくくすることに注意します。
インフラストラクチャと大規模な偽造企業
インフラストラクチャ分析により、ミーティングプラットフォームと暗号焦点の投資エンティティのように見えるように設計された、攻撃者が管理するドメインの広い生態系が明らかになります。
Linuxシステムでは、被害者はCtrl + Alt + Tを押すようにされ、ターミナルが開き、その後、コマンドを貼り付けて実行するよう促されます。
ダウンローダーに埋め込まれたIPは、模造品のミーティングドメインと詐欺的なベンチャーキャピタルブランドのクラスターにリンクされており、技術的なテンプレートとツールを再利用しながらアイデンティティを回転させ続ける長期的な操作をサポートしています。
Googleおよびその他のベンダーの脅威インテリジェンスからの最近の作業は、UNC1069をサプライチェーン攻撃に関連付けます。Axios npmパッケージの侵害など。このグループがソーシャルエンジニアリングと開発者向けのマルウェア配布をブレンドして、高価値の暗号ターゲットに到達する意思を示しています。
暗号およびWeb3エコシステムの組織は、既知の幹部またはファンドからのものであるように見える場合でも、未承諾の投資提案と「緊急」ミーティングリクエストを高リスクとして扱う必要があります。
具体的な防御には、カウンターパーティの帯域外検証、従業員が通話中にターミナルコマンドを貼り付けたりセキュリティツールをオフにしたりすることを禁止する厳格なポリシー、およびコラボレーションセッションから発生する疑わしいPowerShell、curl、およびスクリプティングアクティビティの監視が含まれます。
セキュリティチームは、UNC1069関連インフラストラクチャおよびCabbage/NukeSped関連の検出を追跡し、ユーザーアカウントが侵害された場合のブラスト半径を制限するために、ウォレットインフラストラクチャに対する最小権限アクセスを強制する必要があります。
翻訳元: https://gbhackers.com/north-korea-linked-unc1069/
