はじめに
北朝鮮関連のハッカー集団が、macOSユーザーを狙った新たなマルウェア攻撃を展開しています。彼らは、巧妙に偽装された求人募集サイトを利用して、被害者に悪意のあるターミナルコマンドを実行させ、「FlexibleFerret」マルウェアをインストールさせています。Jamf Threat Labsの分析によると、「Contagious Interview」作戦と呼ばれるこのキャンペーンは、macOSのセキュリティ機能であるGatekeeperを迂回するための洗練されたソーシャルエンジニアリング戦術を駆使しています。
過去の動向と新たな手口
FlexibleFerretマルウェアファミリーは、2025年初頭にSentinelOneによって初めて確認され、北朝鮮関連の作戦に関連付けられました。当時から、マルウェア実行に至るまでの「採用プロセス」を模倣した、凝った偽の求人誘致が特徴でした。
最近、セキュリティ研究者らは、このキャンペーンの新たなバリアントがmacOSユーザーを標的にしていることを観測しています。これらは、非常に精巧に作られた採用評価ポータルを通じて拡散されています。
攻撃の詳細とソーシャルエンジニアリング
攻撃は、evaluza[.]comやproficiencycert[.]comといった偽の求人サイトにホストされているJavaScriptファイルから始まります。これらのサイトは「ブロックチェーンキャピタル運営マネージャー」といった職種の求人を提供し、正規の採用プラットフォームのように見せかけています。被害者は、プロフェッショナルな見た目の採用評価を受け、ビデオによる自己紹介のアップロードや個人情報の提供を求められます。これにより、サイトの信頼性を確信させられます。
評価完了後、被害者にはmacOSターミナルで特定のcurlコマンドを実行するよう指示されます。攻撃者は、カメラやマイクへのアクセスがブロックされており、このコマンドを実行することで問題が解決すると偽って、心理的に操作します。
マルウェアのインストールと永続化
被害者がコマンドを実行すると、実際にはシェルスクリプトが/var/tmp/macpatch.shにダウンロードされ、実行可能に設定された後、バックグラウンドで起動されます。このスクリプトは、ホストのアーキテクチャを判断し、攻撃者が制御するサーバーからアーキテクチャ固有のペイロードをダウンロードします。さらに、ログイン時にマルウェアを自動実行させるため、~/Library/LaunchAgentsにLaunchAgentを作成して永続化を確立します。
認証情報の窃取と最終ペイロード
この攻撃の第2段階では、「MediaPatcher.app」という偽装アプリが展開されます。このアプリは、偽のChromeカメラアクセス許可プロンプトを表示した後、Chrome風のパスワード入力ダイアログを表示して、ユーザーの認証情報を不正に取得します。マルウェアは、Dropboxの正規のAPIエンドポイントを通じて窃取した認証情報を外部に送信し、文字列の断片を連結することでC2通信を難読化します。また、被害者の公開IPアドレスを取得するためにapi.ipify.orgにクエリを実行します。
最終的なペイロードは、Golangベースのバックドアであり、固有のマシン識別子を生成し、コマンド&コントロール(C2)サーバー(95.169.180.140:8080)への接続を確立します。
エンタープライズセキュリティへの影響と対策
このバックドアは、以下のようないくつもの悪質な機能をサポートしています。
- システム情報の収集
- ファイルのアップロードとダウンロード
- OSコマンドの実行
- Chromeプロファイルの収集
- ログインデータの窃取
- ブラウザのキーストアからの認証情報の持ち出し
この進化する脅威は、いかに洗練されたソーシャルエンジニアリングが技術的なセキュリティ制御を回避し続けるかを示しています。攻撃者は、正当に見える採用プロセスにおけるユーザーの信頼を悪用し、被害者をだまして自主的にターミナルコマンドを実行させることで、不正なコード実行を防ぐためのオペレーティングシステム保護機能を迂回しています。
組織は、以下の点を重視した包括的な意識向上トレーニングを実施する必要があります。
- 予期せぬ求人面接、特にターミナルコマンドの実行を要求するものは、重大なセキュリティリスクであること。
- 予期せぬ採用に関する通信や、ターミナルベースの「修正」指示を、高リスクの兆候として扱うこと。
これらの戦術が脅威の状況でますます一般的になっているため、注意が不可欠です。