セキュリティ研究機関SentinelLabsが調査レポートを公開し、北朝鮮系ハッカーが、暗号資産業界を標的とした高度なmacOSマルウェアキャンペーンの背後に存在することが判明したと主張しています(9to5Mac)。
「NimDoor」と呼ばれるマルウェアは、従来のmacOS向けマルウェアとは一線を画す洗練された構成を持っています。AppleScript、Bash、C++、Nim言語を連携させた複雑な攻撃チェーンを持ち、別プロセスへのコード挿入で検出を回避する「プロセスインジェクション」を利用しています。
wss(TLS暗号化WebSocket)により通信の秘匿性を強化し、SIGINT/SIGTERMシグナルをフックし、プロセス終了や再起動時に再度感染する新しい持続化メカニズムを実現。
Keychainやブラウザデータ、Telegram情報の抽出や送信にはBashスクリプトが使われ、初期アクセスを取得するために使われるAppleScriptは、攻撃チェーンの後半で、ビーコンやバックドアとしても機能します。
巧妙なソーシャルエンジニアリング
攻撃の起点は、Telegramで信頼できる人物を装う接触です。
被害者に同業者を装ってTelegramで接触し、「ZoomミーティングをCalendly経由で日程調整しよう」と誘導し、メールで「Zoom SDKアップデート」と称した偽アプリのダウンロードリンクを案内します。
アプリには10,000行以上の空白コードが仕込まれ、悪意あるコードを隠蔽。被害者が実行すると、C2サーバー(Command and Controlサーバー: マルウェアに感染した端末を遠隔操作するサーバー)との通信が始まり感染が完了します。
なぜ「Nim」なのか?
かつてはGoやPythonなどシンプルなプログラミング言語を主軸にしていた北朝鮮系ハッカーですが、ここへきてNimのようなマイナーで解析が難しい言語へシフトしているようです。
Nimは軽量・高速・クロスプラットフォーム対応の特性があり、コード難読化にも有利です。解析ツールや情報が少ないため、セキュリティ研究者にとって逆解析が難しいというハッカーにとっての利点もあります。
SentinelLabsはこれを北朝鮮系マルウェアの戦術的進化だと位置づけています。
北朝鮮系ハッカーが行った攻撃では、LinkedInやGitHubが悪用された事例が確認されており、一般ユーザーよりも技術的な知識が豊富な開発者が罠にかかってしまうこともあります。正規アップデートやアプリでも、信頼できない経路で配布されるものには注意し、コミュニケーションしている相手の裏に隠された意図がある可能性あることに常に気にかけている必要がありそうです。
