北朝鮮のハッカーが暗号企業を標的にした最新のマルウェアキャンペーンでmacOSを攻撃

北朝鮮のサイバー犯罪者たちは、Appleデバイスを利用した多段階攻撃を行う新たなマルウェアを使用して、暗号企業を標的にしています。

サイバーセキュリティ企業Sentinel Labsの研究者たちは、macOSシステムを侵害するためにソーシャルエンジニアリングと高度な持続技術を利用するキャンペーンについて警告を発表しました。

マルウェア「NimDoor」は、あまり知られていないNimプログラミング言語で書かれており、従来のアンチウイルスツールを回避する能力があります。

Sentinel Labsによると、攻撃者はTelegramなどのメッセージングプラットフォームで信頼できる個人を装って接触を開始します。この場合の被害者はブロックチェーンやWeb3企業の従業員であるようで、フィッシングリンクを通じて偽のZoomミーティングに誘導され、通常のZoom SDKの更新と思われるものをインストールするよう指示されます。

実行されると、アップデートスクリプトは被害者のMacデバイスに複数の段階のマルウェアをインストールします。これには、AppleScriptベースのビーコン、資格情報窃盗用のBashスクリプト、持続性とリモートコマンド実行のためにNimおよびC++でコンパイルされたバイナリが含まれます。

バイナリは、マルウェアチェーン内で特定のタスクを実行するスタンドアロンのプログラムファイルです。CoreKitAgentと呼ばれる1つのバイナリは、ユーザーがマルウェアを閉じようとしたときに実行される信号ベースの永続性メカニズムを使用しており、システムが再起動した後でもアクティブな状態を維持します。

暗号通貨は、この操作の主要な標的です。マルウェアは特に、ブラウザに保存された認証情報やデジタルウォレットに関連するアプリケーションデータを狙っています。

マルウェアは、Chrome、Brave、Edge、Firefoxといった人気のあるブラウザ、およびAppleのKeychainパスワードマネージャーから情報を抽出するように設計されたスクリプトを実行します。別のコンポーネントは、Telegramの暗号化データベースおよびキー ファイルを対象としており、メッセージングアプリを介して交換されたウォレットのシードフレーズや秘密鍵を露出させる可能性があります。

北朝鮮のハッカーが責任を負う

Sentinel Labsは、このキャンペーンを北朝鮮に関連する脅威アクターに帰属させており、朝鮮民主主義人民共和国による暗号に特化したサイバー攻撃のパターンを続けています。

Lazarusのようなハッキンググループは、国際制裁を回避し、国家の活動を資金援助するためにデジタル資産企業を長年標的にしてきました。以前の作戦ではGoやRustで書かれたマルウェアが見られましたが、このキャンペーンはmacOSのターゲットに対するNimの主要な展開の一つを示しています。

crypto.newsが以前報じたように、2023年末に研究者たちは、Kandykornという名前のPythonベースのマルウェアを展開した別のDPRK関連のキャンペーンを観察しました。これは、Discordサーバーを通じて、暗号裁定ボットとして偽装されて配布され、主にmacOSを使用するブロックチェーンエンジニアを標的にしました。

Sentinel Labsは、脅威の行為者がますます不明瞭なプログラミング言語や高度な手法を採用するにつれて、macOSに関する従来のセキュリティの前提がもはや有効ではないと警告しています。

過去数ヶ月間、いくつかのマルウェアがAppleユーザーを標的にしており、iOSのフォトギャラリーを通じてシードフレーズを盗むSparkKittyや、macOSのウォレットアプリを悪意のあるバージョンに置き換えるトロイの木馬が含まれています。