北朝鮮のハッキング・グループBlueNoroffは、Zoom通話中に企業幹部をディープフェイクし、従業員を騙してmacOSデバイスにカスタム・マルウェアをインストールさせている。
BlueNoroff(別名Sapphire SleetまたはTA444)は、WindowsとMacのマルウェアを使って暗号通貨窃盗攻撃を行うことで知られる北朝鮮の高度持続的脅威(APT)グループです。
Huntressの研究者は2025年6月11日、パートナーのネットワークへの侵入の可能性を調査するよう要請を受け、新たなBlueNoroff攻撃を発見しました。
以前の攻撃と同様、主な目的は暗号通貨の窃盗である可能性が高く、SentinelLabs、Microsoft、Jamf、Kasperskyの脅威アクターに関する他の最近の報告と一致しています。
ズーム攻撃
ターゲットである技術系企業の従業員は、外部の専門家を装った攻撃者からTelegramで連絡を受け、ミーティングを要求された。
攻撃者は、Google Meetセッションと思われるCalendlyリンクを含むメッセージを送信しましたが、招待リンクは実際には攻撃者が管理する偽のZoomドメインでした。
この手口は、4月にTrail of Bitsによって発見されたキャンペーンに類似しており、北朝鮮の活動クラスター「Elusive Comet」によるものとされている。
従業員が実際にZoomのミーティングに参加した際、信憑性を高めるために、従業員が所属する会社の認知度の高い上級幹部や様々な外部参加者のディープフェイク動画が含まれていた。
会議中、被害者は、技術的な問題のためと思われるマイクが使えないという問題に遭遇した。ディープフェイクは被害者に、問題を解決するZoomの拡張機能をダウンロードするよう勧めた。
Telegram経由で提供されたリンクは、被害者がAppleScriptファイル(zoom_sdk_support.scpt)をダウンロードするよう誘導しました。
Source:ハントレス
実行すると、このファイルは正規のZoom SDK Webページを開きますが、10,500行の空行を解析した後、悪意のあるコマンドを実行し、外部ソース(https[://]support[.]us05webzoom[.]biz)からセカンダリペイロードをダウンロードして実行します。
ハントレスが調査に呼ばれた時点で、最終的なペイロードは攻撃者が管理するドメインから引き出されていました。しかし、彼らはVirusTotalでいくつかの洞察につながるバージョンを見つけることができました。
「このスクリプトは、bashの履歴ロギングを無効にすることから始まり、Apple Silicon Macでx86_64バイナリを実行できるようにするRosetta 2がインストールされているかどうかをチェックします。
「もしインストールされていなければ、x86_64のペイロードが実行できるようにするため、黙ってインストールする。そして.pwdと呼ばれるファイルを作成し、ピリオドを先頭につけてユーザーからは見えないようにし、悪意のある偽のZoomページからペイロードを/tmp/icloud_helperにダウンロードする。”
全体として、研究者はこの攻撃で侵害されたホスト上で8つの異なる悪意のあるバイナリを発見した。
プロセスインジェクションとインプラントの復号化に使用されたマイナーなツールを除くと、このキャンペーンで使用されたMacマルウェアは以下のとおりです:
- Telegram 2– 正規のTelegramアップデータを装ったNimベースの永続化インプラント。このインプラントはスケジュールに従って実行され、マルウェアチェーンの他の部分へのエントリポイントとして機能します。このバイナリは、有効なTelegram開発者証明書で署名されているため、精査を回避し、検出されずに残ります。
- Root Troy V4– Goベースのバックドアで、リモートでのコード実行、スリープ状態中のコマンドキューイング、追加ペイロードのダウンロードを可能にします。感染後の操作の中央コントローラーとして機能し、マルウェアの設定と状態を維持します。
- a (InjectWithDyld)– パスワード由来のAESキーを使用して暗号化されたインプラントを復号化し、メモリに注入する第2段階のローダー。プロセスインジェクションにmacOS固有のAPIを使用し、使用後に自身の痕跡を消去するアンチフォレンジック機能を備えています。
- XScreen (keyboardd)– キー入力を記録し、画面を記録し、クリップボードを監視する監視コンポーネント。バックグラウンドで継続的に動作し、収集したデータをコマンド&コントロールサーバーに送信します。
- CryptoBot (airmond)– Go で書かれた暗号通貨に特化したインフォステーラー。20以上のウォレットプラットフォームを標的とし、機密データを抽出し、流出のためにローカルの暗号化されたキャッシュに保存する。
Huntressが発見した侵入は、ソーシャル・エンジニアリングやカスタムmacOSマルウェアにAIディープフェイクを活用するBlueNoroffの高度化を反映している。
Huntressは、多くのMacユーザーはマルウェアに狙われる可能性が低いと思い込んでいると警告している。
しかし、macOSが企業で広く採用されるようになるにつれ、このOSを標的としたマルウェアを開発する脅威が増加しています。
最近のキャンペーンは、暗号の窃取を目的とした 広範な情報窃取や ドレイナーから、このような組織を標的とした高度な攻撃まで多岐にわたっており、macOSユーザーはより良い準備と保護が必要であることが明らかになっています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
ITチームが手作業によるパッチ管理をやめる理由
かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。
この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。
Comments