北朝鮮ハッカー集団、AIと新macOSマルウェアで仮想通貨企業を標的に
GoogleのMandiant研究者によると、北朝鮮を拠点とするハッカー集団UNC1069が、AI生成動画や「ClickFix」テクニックを悪用し、macOSおよびWindowsシステムを標的とした新たなマルウェアキャンペーンを展開しています。この攻撃は、仮想通貨業界の金融資産窃取を目的としています。
今回の調査では、特にmacOSを標的とした7種類もの異なるマルウェアファミリーが発見され、UNC1069が2018年から追跡されている脅威グループであることが再確認されました。
巧妙化する感染経路:ソーシャルエンジニアリングとディープフェイクの悪用
攻撃は高度なソーシャルエンジニアリングから始まります。標的は、仮想通貨企業の幹部の乗っ取られたTelegramアカウントから接触を受けます。信頼関係を築いた後、攻撃者はCalendlyリンクを通じて偽のZoom会議ページへと誘導します。
「会議」では、別の仮想通貨企業CEOのディープフェイク動画が使用され、ユーザーにオーディオ問題が発生しているかのように錯覚させます。この口実のもと、攻撃者はユーザーにウェブページに記載されたトラブルシューティングコマンドの実行を指示し、これによって感染チェーンが開始されます。MandiantはWindowsとmacOSの両方に対応するコマンドを確認しています。
発見された7種類のmacOSマルウェアとその機能
感染が始まると、攻撃者はAppleScriptの実行を経て悪意のあるMach-Oバイナリをデプロイし、以下のマルウェアファミリーを展開します。
- WAVESHAPER: C++製のバックドアで、バックグラウンドデーモンとして動作し、ホストシステム情報を収集、C2サーバーとHTTP/HTTPSで通信し、追加ペイロードをダウンロード・実行します。
- HYPERCALL: Golang製のダウンローダー。RC4で暗号化された設定ファイルを読み込み、TCP 443上のWebSockets経由でC2サーバーに接続し、悪意のある動的ライブラリをダウンロードしてメモリにリフレクティブにロードします。
- HIDDENCALL: Golang製のバックドアで、HYPERCALLによってメモリに注入されます。キーボードアクセスを可能にし、コマンド実行やファイル操作をサポート、さらなるマルウェアを展開します。
- SILENCELIFT: 最小限のC/C++製バックドア。ハードコードされたC2サーバーにホスト情報とロック画面ステータスをビーコン送信し、ルート権限で実行された場合はTelegram通信を妨害できます。
- DEEPBREATH: Swift製のデータマイナーで、HIDDENCALLによってデプロイされます。macOSのTCC保護をバイパスして広範なファイルシステムアクセス権を獲得し、キーチェーンの認証情報、ブラウザデータ、Telegramデータ、Apple Notesデータなどを窃取します。
- SUGARLOADER: C++製のダウンローダー。RC4暗号化された設定を使用し、次段階のペイロードを取得します。手動で作成されたLaunch Daemonを介して永続化されます。
- CHROMEPUSH: C++製のブラウザデータマイナーで、SUGARLOADERによってデプロイされます。「Googleドキュメントオフライン拡張機能」に偽装したChromiumネイティブメッセージングホストとしてインストールされ、キーストローク、認証情報、クッキー、およびオプションでスクリーンショットを収集します。
Mandiantは、SILENCELIFT、DEEPBREATH、CHROMEPUSHがUNC1069にとって新しいツールセットであると指摘しています。
単一の標的に対しこれほどの量のマルウェアが展開されるのは異例であり、これは「仮想通貨窃盗」と「標的のIDやデータを悪用した将来のソーシャルエンジニアリングキャンペーンの燃料」という二重の目的のために、可能な限り多くのデータを収集しようとする標的型攻撃であることを示しています。
進化を続けるUNC1069の脅威
UNC1069は2018年以来、その戦術とツールを進化させ続ける能力を示してきました。2023年にはWeb3業界(中央集権型取引所、開発者、ベンチャーキャピタルファンド)を標的とし、昨年は金融サービス、特に決済、仲介、ウォレットインフラストラクチャといった仮想通貨業界の垂直分野に標的をシフトしています。