北朝鮮のハッカーたちは、偽のZoom招待を通じて配信される洗練されたMacマルウェアを利用してWeb3や暗号通貨企業に侵入し、標準的なセキュリティ対策を回避しながら機密データを盗んでいる。
セキュリティ研究者らは、macOS システム上の Web3 および仮想通貨企業を標的とする新しいマルウェアを使用した、北朝鮮と連携したハッカーによる高度なキャンペーンを特定しました。
SentinelOne Labsレポートの説明多段階の攻撃チェーン。この攻撃チェーンは、ソーシャル エンジニアリング、欺瞞的な AppleScript、Nim プログラミング言語でコンパイルされたバイナリを組み合わせたものです。
Nim は macOS では一般的ではないため、検出が複雑になります。 「NimDoor」と呼ばれるこの作戦は、セキュリティ防御を侵害し、暗号通貨中心の企業から機密データを盗むという北朝鮮の脅威グループによる進化する戦術を示しています。
続きを読む:Google で Gemini をスペイン語、韓国語、フランス語などで使用できるようになりました – 詳細はこちらでご確認ください
攻撃の仕組み
多くの場合、最初の侵害はソーシャル エンジニアリングから始まります。攻撃者は Telegram を通じて信頼できる連絡先になりすまし、被害者を Calendly リンク経由で Zoom 通話のスケジュールに誘導します。
zoom_sdk_support.scpt ファイルには 10,000 行のパディングが含まれており、「Zoom」ではなく「Zook」というタイプミスがあります。画像クレジット: SentinelOne
被害者は、ブービートラップされた AppleScript ファイルである悪意のある Zoom SDK アップデート スクリプトを含むフィッシングメールを受け取ります。これらのスクリプトには、検出を回避し、正規の Zoom ドメインを模倣した攻撃者制御のサーバーから追加のマルウェアをフェッチするための数千行のパディング行が含まれています。
これらのスクリプトは実行されると、さらにペイロードを被害者のマシンにダウンロードします。研究者らは、2 つの主要な Mach-O バイナリ (1 つは C++ で書かれ、もう 1 つは Nim で書かれています) が並行してデプロイされ、永続的なアクセスを維持し、データを盗むことを発見しました。
このマルウェアは、特別な権限によるプロセス インジェクションなど、macOS では珍しい手法を使用します。また、TLS 暗号化 WebSocket (wss) を介した暗号化通信とシグナルベースの永続化メカニズムも採用されています。
これらのメカニズムは、ユーザーがマルウェアを終了しようとしたとき、またはシステムが再起動したときにマルウェアを再インストールします。
高度なデータの盗難と永続化
データの抽出は、ブラウザ履歴、キーチェーン認証情報、およびテレグラム データを収集する Bash スクリプトを通じて実行されます。対象となるブラウザには、Arc、Brave、Firefox、Chrome、Microsoft Edge が含まれます。
このマルウェアは、潜在的なオフライン クラックのために、暗号化されたローカル Telegram データベースも盗みます。
永続性は、macOS LaunchAgent と欺瞞的な命名規則を巧みに使用することで実現されます。たとえば、マルウェアは「GoogIe LLC」のような名前のバイナリをインストールし、正規の Google ファイルと混同するために大文字の「i」を小文字の「L」に置き換えます。
別のバイナリ「CoreKitAgent」は、システム信号を監視し、終了した場合に自身を再インストールします。これには、セキュリティ サンドボックスを阻止する 10 分間の非同期スリープ サイクルなどの分析対策が含まれています。
Binary Ninja の MLIL ビューは、マルウェアがコマンドをどのように処理するかを示します。画像クレジット: SentinelOne
SentinelOne によると、これらのバイナリへの Nim の使用は、脅威アクター ツールの進化を表しています。 Nim のコンパイル時の実行と、開発者コードと実行時コードのインターリーブにより、静的分析がより困難になります。
AppleScript ベースのビーコンは、軽量のコマンド アンド コントロールを提供します。これは、より簡単にアラートをトリガーする可能性のある重篤なエクスプロイト後のフレームワークに依存せずに行われます。
NimDoor から安全を守る方法
ユーザーは、信頼できる連絡先から送信されたように見える場合でも、予期しない電子メールやメッセージを通じて受信したスクリプトやソフトウェア アップデートを実行しないようにする必要があります。攻撃者は被害者を騙すために類似ドメインを作成することが多いため、URL を注意深く検査することが重要です。
次に、macOS とインストールされているすべてのアプリケーションを最新のセキュリティ パッチで更新した状態に保ちます。アプリを更新すると、マルウェア キャンペーンが悪用する脆弱性が軽減されます。
また、プロセス インジェクション、悪意のある AppleScript、認識されない起動エージェントなどの不審な動作を検出できる、信頼できるエンドポイント セキュリティ ツールを使用することも役立ちます。ログイン項目と LaunchAgent を定期的に確認すると、永続性を維持する不正なエントリが明らかになります。
最後に、強力で一意のパスワードを採用し、利用可能な場合は多要素認証を有効にします。
![パスワードの有無にかかわらずiPhoneで親のコントロールをバイパスする方法[7つの方法]](https://elsefix.com/tech/afton/wp-content/uploads/cache/2025/04/disable-parental-controls-in-parent-iphone.jpg)
![画面の準備に固執したクリプチャンプ[修正]](https://elsefix.com/tech/tejana/wp-content/uploads/2025/02/Clipchamp-stuck-on-Preparing-screen.png)
