Microsoftによると、北朝鮮の脅威アクターであるSapphire Sleetが、ソフトウェア悪用ではなくソーシャルエンジニアリングに依存するmacOSキャンペーンを実行しており、被害者に自分自身を感染させるようにしています。
この作戦は、攻撃者が信頼されたAppleツールを悪用し、通常のユーザーアクションを利用してパスワード、暗号資産データ、その他の機密ファイルを盗みながら、macOSの複数の組み込み保護を回避する方法を示しています。
Microsoft Threat Intelligenceによると、Sapphire Sleetは、偽りの採用担当者との連絡、職務に関する議論、および技術面接と称して、ターゲットをZoom SDKアップデートに偽装した悪意のあるファイルをダウンロードさせるというよく知られたプレイブックを使用しました。
このおとりは「Zoom SDK Update.scpt」という名前のコンパイルされたAppleScriptファイルとして到着し、macOSのScript Editorでデフォルトで開きます。この正当なAppleアプリケーションはシェルコマンドを実行できます。
Microsoftによると、このキャンペーンが注目に値するのは、ユーザーが開始したコンテキストに実行を押し込むことで、通常Gatekeeper、隔離、公証、およびTransparency、Consent、and Control (TCC)によって強制されるチェックの外で攻撃を操作できるためです。
後の段階では、osascriptが同意プロンプトを表示せずにFinderにAppleEventsを送信できるように、ユーザーのTCCデータベースを直接操作しました。
このアクセスにより、マルウェアは大規模なデータ収集と価値の高いデータの流出に移行できるようになりました。
Microsoftによると、ブラウザ収集は特に選別されており、Sui、Phantom、TronLink、Coinbase、OKX、Solflare、Rabby、Backpackを含む暗号資産ウォレット拡張機能に関連するIndexedDBデータ、およびBitwarden関連データに焦点を当てていました。
これにより、このキャンペーンは暗号資産、デジタル資産、ベンチャーキャピタル、金融、ブロックチェーンセクターの人々と企業にとって特に危険なものになり、MicrosoftはSapphire Sleetがこれらのセクターを長年標的にしていると述べています。
同社は責任を持った開示を通じてキャンペーンの詳細をAppleと共有し、その後Appleはこれらに関連するインフラとマルウェアを検出およびブロックする保護を追加しました。
これらのアップデートには、SafariのApple Safe Browsing保護と、macOSシステムに自動配信される新しいXProtectシグネチャが含まれます。
セキュリティチームにとってのメッセージは明確です。これはゼロデイストーリーではなく、信頼悪用ストーリーであり、被害者が自分で攻撃を実行するよう説得されたものです。
これにより、ユーザー認識、エンドポイント可視性、および段階的制御は、最新のmacOS環境を防御する際にパッチ適用と同じくらい重要になります。
翻訳元: https://cyberpress.org/sapphire-sleet-targets-macos/