Apple

北朝鮮の脅威関係者は、Flutterで作成されたトロイの木馬化されたメモ帳アプリやマインスイーパゲームを使用して、AppleのmacOSシステムを標的としています。

つまり、悪意のあるアプリは一時的にせよAppleのセキュリティチェックを通過しているため、macOSシステムはそれらを検証済みとして扱い、制限なく実行できるようにしている。

アプリの名前は暗号通貨をテーマにしており、北朝鮮のハッカーたちの金融窃盗への関心と一致している。

この活動を発見したJamf Threat Labsによると、このキャンペーンは、本格的かつ高度に標的を絞った活動というよりは、macOSのセキュリティを迂回する方法に関する実験のように見えるという。

朝鮮民主主義人民共和国のサーバーに接続する公証アプリ

2024年11月から、JamfはVirusTotal上で複数のアプリを発見した。これらのアプリは、すべてのAVスキャンでまったく無害に見えるにもかかわらず、北朝鮮のアクターに関連するサーバーに接続するという「ステージ1」の機能を示していた。

すべてのアプリは、GoogleのFlutterフレームワークを使用してmacOS用に構築されており、開発者はDartプログラミング言語で記述された単一のコードベースを使用して、異なるオペレーティングシステム用にネイティブにコンパイルされたアプリを作成することができます。

「Flutterベースのアプリケーションにマルウェアを埋め込むことは前代未聞ではありませんが、この攻撃者がmacOSデバイスを狙うためにFlutterを使用したのは今回が初めてです」とJamfの研究者であるFerdous SaljookiとJaron Bradleyは説明する。

このアプローチは、マルウェア作者に汎用性を与えるだけでなく、悪意のあるコードが動的ライブラリ(dylib)内に埋め込まれ、実行時にFlutterエンジンによってロードされるため、検出が困難になります」とJamfの研究者であるFerdous Saljooki氏とJaron Bradley氏は説明する。

Flutter app layout
Flutterアプリのレイアウト
Source:Jamf

Flutterベースのアプリの1つである「New Updates in Crypto Exchange (2024-08-28).app」をさらに分析したところ、Jamfはdylib内の難読化されたコードがAppleScriptの実行をサポートしており、コマンド&コントロール(C2)サーバーから送信されたスクリプトを実行できることを発見した。

このアプリはmacOS用のマインスイーパゲームを開くもので、コードはGitHubで自由に入手できる。

Jamfが発見した6つの悪意のあるアプリケーションのうち5つは、正規の開発者IDを使用して署名されており、マルウェアは公証を通過していた。

Signed trojanized Minesweeper game
署名されたトロイの木馬マインスイーパゲーム
ソースはこちら:Jamf

Jamfはまた、「New Era for Stablecoins and DeFi, CeFi (Protected).app」と「Runner.app」と名付けられたGolangとPythonベースの亜種も発見しており、後者はシンプルなメモ帳アプリとして表示されていた。

どちらも、DPRKに関連する既知のドメイン「mbupdate.linkpc[.]net」にネットワークリクエストを行い、スクリプトの実行機能を備えていた。

Appleはその後、Jamfが発見したアプリの署名を取り消したため、最新のmacOSシステム上にロードされていれば、Gatekeeperの防御を回避することはできない。

しかし、これらのアプリが実際のオペレーションで使用されたことがあるのか、それともセキュリティ・ソフトウェアをバイパスするテクニックを評価するための “野放し “テストでのみ使用されたのかは不明だ。

同じアプリの亜種が複数存在するという事実がこの説を裏付けているが、今のところ、この作戦の詳細は不明のままだ。