出典:Alexey Stiop via Alamy Stock Photo
北朝鮮のLazarusグループは、新しいmacOSマルウェアを使用したサイバー攻撃を展開するためにClickFix攻撃を利用しています。
セキュリティベンダーのAny.Runが4月21日に公開した調査によるもので、新しい国家主導の脅威キャンペーンに関する研究です。攻撃的セキュリティの専門家でありバーミンガムサイバーアームスの創設者であるMauro Eldritchが執筆したレポートは、組織を標的とするClickFix攻撃の波をカバーしており、様々なマルウェアを配布するために使用されています。この最新の研究は、現在野生で活用されている新たに特定されたmacOSマルウェアキットに主に焦点を当てています。
ClickFixは、ここ数年で注目を集めるようになったソーシャルエンジニアリング技術です。脅威行為者は被害者を攻撃者が運営するインフラストラクチャ(偽のZoomミーティングに見せかけるウェブサイトなど)にアクセスさせるようにだまします。
被害者がウェブページに到達すると、ソフトウェアを更新した場合にのみ解決できる技術的な問題があることが告げられます。攻撃者は通常、被害者にコマンドを実行するよう指示します(Windowsではコマンドをコピー&ペーストで実行、macOSではコードが含まれたファイルをダウンロードして開く)。
ClickFixは最近北朝鮮の脅威行為者の常套手段となっています。Lazarusグループなどのエンティティは初期アクセス用に使用し、最終的には暗号通貨や知的財産の盗難、またはスパイ行為を目的としています。この最新のキャンペーンでは、LazarusグループはmacOSデバイスに大きく依存している組織のFinTech、暗号通貨、および高い価値を持つリーダーを標的にしています。
完全なmacOSマルウェア攻撃チェーン
Eldritchによると、攻撃者はビジネスリーダーにTelegramで連絡を取ります。多くの場合、対象者が知っている同僚または連絡先に属する侵害されたアカウントを使用します。攻撃者はビジネスの機会を装うという名目で会話を設定するための偽のZoom、Microsoft Teams、またはGoogle Meet招待状を送ります。北朝鮮の行為者は、求人の申し出をおとりとして使用してきました。
対象者は通話に参加し、接続の問題を解決するためのコマンドを入力するよう求められます。コマンドはユーザーが入力するため、多くの従来のセキュリティ対策は引き起こされません。また、ユーザーはソフトウェア更新などのアクションを実行することに同意するように条件付けられているため、ClickFixのような技術は従来のフィッシングメールよりもユーザーに警戒心を起こさせない可能性があります。特に攻撃者がビジネスミーティングを使用して事前に対象者の警戒を低下させる場合は。
その後、「その操作はできるだけ迅速にビジネス価値を抽出することに焦点を当てています」ブログ記事は述べています。「攻撃者は認証情報、ブラウザセッション、およびmacOS Keychainデータを含むシステムに保存されたシークレットを収集します。」このようなアセットは、その後、企業システム、ソフトウェアサービス(SaaS)プラットフォーム、および財務リソースへのアクセスを提供できます。Any.Runは付け加えました。
ユーザーがコマンドを入力して攻撃者インフラストラクチャに接続すると、「teamsSDK.bin」などの控えめな名前で、macOSアプリケーション.binファイルとしてマルウェアがダウンロードされます。このアプリケーションはセカンドステージバイナリをインストールし、「ソフトウェアが更新されました」というメッセージなど、ユーザーの信頼を得るための追加の方法を含みます。
次のバイナリは、攻撃者がホストするコマンド・アンド・コントロール(C2)インフラストラクチャに接続するシステムプロファイラーです。その後、「macrasv2」という名前の主要コンポーネント(盗難者)が読み込まれる前に、すべてのログイン時にマルウェアキットを再呼び出す永続化メカニズムが続きます。
盗難者は、以前に収集したブラウザ拡張機能データ、保存されたブラウザ認証情報とクッキー、macOS keychainエントリなどを段階化し、Telegramを通じて流出させるために一時ディレクトリに統合します。その後、Macrasv2は自己削除スクリプトを実行し、感染チェーンが完了します。
多くの北朝鮮の国家主導攻撃は洗練された性質ですが、Eldritchは「macrasv2は悪く書かれている」と指摘しました。いくつかのコンポーネントは未実装のままであるか、不正確に実装されており、一部のコンポーネントは「システムリソースの枯渇によりその存在を露出させる可能性のある無限ループに入ります」。マルウェアは、公開されたTelegramボットトークンと認証が欠落しているC2エンドポイントなど、複数の運用セキュリティの弱点も残しました。
ClickFix侵害を回避する方法
Any.Runのブログには侵害の兆候が含まれていますが、攻撃チェーンがどれほど洗練されていてもClickFixはエンドユーザーがコマンドを実行またはファイルをダウンロードする場合にのみ機能することに注意する必要があります。
そのため、組織がClickFixに対抗する最良の方法は、この技術がどのように機能し、なぜ成功しているのかについてリーダーと従業員を教育し、接続の問題を解決する手段として疑わしいコマンドを実行したり、ファイルを開かないようにすることです。
Dark Readingはコメントのためにany.Runに連絡を取りました。
翻訳元: https://www.darkreading.com/threat-intelligence/north-koreas-lazarus-targets-macos-users-clickfix
