Lazarus Group は「ClickFix」ソーシャルエンジニアリングを悪用して、「Mach-O Man」というコードネームの新しい macOS マルウェアキットを配布しており、攻撃者に対して fintech および暗号関連の環境における認証情報、Keychain のシークレット、および企業アクセスへの直接的な経路を提供しています。
本調査は、攻撃的なセキュリティの専門家であり、脅威インテリジェンスと脅威狩猟に焦点を当てた BCA LTD の創設者である Mauro Eldritch によって執筆されました。
X 上で Mauro を見つけることができます。そこで彼は「Mach-O Man」の活動と高価値環境における macOS ユーザーへの影響についてドキュメント化しています。
最新の ClickFix 攻撃の波は、ユーザーにコマンドを実行させるよう説得するだけで、多くの場合、技術的なコントロールを回避するのに十分であり、Lazarus はこのアプローチを迅速に武器化しています。
このキャンペーンでは、グループは詐欺的なミーティングと信頼できるチャネルを使用して、Intel と Apple Silicon の両方の Mac 上でネイティブに実行されるモジュール型の Mach-O マルウェアキットを配信しています。
Mach-O Man の感染がどのように始まるか
このオペレーションは通常 Telegram で開始され、攻撃者は同僚またはビジネス上の連絡先になりすまして、fintech および暗号企業の経営幹部、開発者、および意思決定者に緊急のミーティング招待状を送信します。
被害者は、Zoom、Microsoft Teams、または Google Meet を模倣し、手動で修正する必要がある接続の問題があると主張する説得力のあるフィッシングサイトにリダイレクトされます。
ソフトウェアバグを悪用する代わりに、ページはユーザーに Terminal コマンドをコピーして貼り付けるよう指示しており、このパターンは今ではClickFix として広く知られています。
被害者がコマンドを自分で実行するため、最初の Mach-O ペイロードを即座にダウンロードして起動するにもかかわらず、多くのエンドポイント保護がこのアクティビティにフラグを付けられません。
実行されると、初期バイナリ(teamsSDK.bin として観察されることが多い)は、ステージャーとして機能し、会議ツールまたは汎用システムダイアログを模倣する詐欺的な macOS アプリケーションをフェッチします。
これらの詐欺的なアプリは、英語が不完全なテキストで繰り返しユーザーにパスワードの入力を促し、最初の試行が失敗したふりをしてから静かに次のステージに移ります。
舞台裏では、2番目のモジュール(D1YrHRTg.bin などの亜種)が sysctl とローカルツール経由でシステムをプロファイリングし、ホスト識別子、OS の詳細、ネットワーク構成、プロセス、および Chrome、Safari、Brave などを含む主要ブラウザのブラウザ拡張機能データを収集します。
研究者は、キットの一部が不十分に書かれており、一部のプロファイラーが無限ループに入り、継続的に同じデータを command-and-control サーバーに POST し、感染した Mac でリソース使用量のスパイクを引き起こす可能性があることに注目しています。
マルウェアは macOS の codesign ユーティリティを使用して ad-hoc 署名を適用し、アプリが標準実行ポリシーの下で実行するのに十分に正当に見えるようにするのを支援します。
macrasv2 として知られている最終的な stealer ステージは、流出前にシステムから高価値のデータを集約します。
ブラウザに保存された認証情報とクッキー、macOS Keychain エントリ、およびSaaS プラットフォーム、内部インフラストラクチャ、および暗号ウォレットへのアクセスを許可できる他のファイルをターゲットにしてから、user_ext.zip などのアーカイブに圧縮します。
これが macOS にとって重要な理由
CISO にとって、主なリスクは、単一の侵害された macOS デバイスが内部システムまたは暗号資産への完全なアクセスに変わる可能性があることです。特に、Mac が開発者と経営陣の標準である組織においてです。
minst2.bin などの後続コンポーネントは、「Antivirus Service」フォルダの下に偽装されたバイナリ(たとえば OneDrive になりすまし)をドロップして LaunchAgent として登録し、毎回のログイン時に実行されるようにして永続性を確立します。
チェーンが従来のエクスプロイトではなくユーザー駆動型のコマンドと native ユーティリティに依存しているため、多くの従来の EDR 展開では、認証情報とセッションが既になくなるまで「通常の」ユーザーアクティビティ以上のものはほとんど見えません。
ディフェンダーは、ClickFix スタイルの lures のブロック、疑わしい Terminal 使用のモニタリング、偽の「Antivirus」または OneDrive エントリの LaunchAgent の監査、および unusual ports への発信トラフィックおよびmacOS ホストからの Telegram API にフラグを付けることに焦点を当てるべきです。
疑わしい URL と macOS バイナリを隔離された VM 内で実行するようなインタラクティブなクロスプラットフォームサンドボックス化は、完全な Mach-O Man チェーンを迅速に再構築し、エンタープライズ検出用の侵害インジケーターを抽出するうえで重要であることが証明されています。
翻訳元: https://gbhackers.com/lazarus-targets-macos-users/
