サイバーセキュリティ企業SentinelLabsは、macOSを対象とした極めて巧妙なマルウェアキャンペーンを発見したと発表しました。この攻撃は、Web3や暗号資産関連のスタートアップを標的としており、北朝鮮の国家支援型ハッカーグループが関与しているとされています。
このマルウェアは「NimDoor」と名付けられ、AppleScript、Bash、C++、そして近年マルウェア開発でも注目されつつあるNim言語が組み合わされており、複雑な攻撃チェーンを持っています。
攻撃の概要と特徴
SentinelLabsによると、NimDoorは以下のような技術的特徴を持つとされています。
- Nimでコンパイルされたバイナリと複数の攻撃チェーンを使用し、標的の企業ネットワークへ侵入。
- 通信にはTLS暗号化されたWebSocket(wss)を利用し、macOSマルウェアとしては異例のプロセスインジェクション技術を活用。
- マルウェアが終了または再起動されても永続性を確保する独自のメカニズム(SIGINT/SIGTERMハンドラーを利用)。
- AppleScriptは初期侵入および後半の軽量ビーコン/バックドアとして機能。
- BashスクリプトでKeychain認証情報、ブラウザのデータ、Telegramのユーザーデータを抜き出し。
攻撃の手法は偽Zoom招待から始まる?
攻撃の出発点はソーシャルエンジニアリングです。ハッカーはTelegram上で信頼できる人物を装い、ターゲットに接触します。日程調整を名目にCalendlyのリンクを送り、続けて「Zoom SDKのアップデート」と称した偽のZoomリンク付きメールを送信します。
問題の「アップデート」ファイルには、実行時の解析を困難にするために1万行以上の空白が含まれているとのことです。
このファイルを実行すると、C2(コマンド&コントロール)サーバーと暗号化通信を確立し、システムが再起動されても復元されるように主要な構成要素を自動再インストールします。
流出するデータは?KeychainからTelegramまで…
一連の侵入プロセスが完了すると、Bashスクリプトが発動し、以下の機密情報を収集・外部に送信します。
- macOS Keychainの認証情報
- ブラウザ(Chromeなど)の保存データ
- Telegramアカウントに関連するデータ
macOSマルウェアの進化
SentinelLabsは今回の調査において、NimDoorの存在がmacOSマルウェアの新たな進化を示していると指摘します。従来の北朝鮮系マルウェアはGo、Python、シェルスクリプトが主流でしたが、今回の事例ではNimとC++が組み込まれており、クロスプラットフォーム・マルウェアとしての高度な構成が注目されます。
セキュリティ関係者・企業への警鐘
macOSはWindowsに比べてセキュリティリスクが低い、安全だとされてきましたが、こうした標的型攻撃が増えるにつれ、Web3や暗号資産分野に関わる企業・開発者は十分な警戒が必要です。特に、外部との通信手段(Zoom、Telegramなど)を介した侵入の可能性を考慮し、不審なファイルやリンクの取り扱いには最大限の注意が求められます。
(via 9to5Mac)
ESET HOME セキュリティ エッセンシャル(最新)| 1台3年 |オンラインコード版|ウイルス対策|Win/Mac/Android…
