The Hacker Newsは6月26日(米国時間)、「Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack」において、日本の暗号資産取引所がサイバー攻撃を受けたと伝えた。暗号資産取引所の名称は明らかにされていないが、「JokerSpy」と呼ばれるmacOSのバックドアがこの攻撃に使われたことが確認されている。

  • Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack

    Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack

JokerSkyは、macOSを侵害するために設計されたツールキット。PythonとSwiftを使用した攻撃によってデータ収集や任意のコマンド実行が可能とされている。攻撃の背景にいる脅威者の詳細はまだ不明だが、ツールキットの主要なコンポーネントはxccとして知られている自己署名のマルチアーキテクチャバイナリとされ、XProtectCheckとして署名されていることが判明している。xccバイナリの一部は3つの異なるアプリ(IntelliJ IDEA、iTerm2、Visual Studio Code)を介したBash経由で起動し、悪意のあるプラグインやバックドアの初期アクセスに使われている可能性が高いと分析されている。

「sh.py」と呼ばれるモジュールが攻撃の一環としてインストールされることも判明している。sh.pyはPythonインプラントとされ、Swiftbeltなどの他のポストエクスプロイトツールを配信するためのコンジットとして使用されることが明らかにされている。

  • Diamond Model to describe high-level relationships between the adversaries、capabilities、infrastructure、and victims of intrusions.

    Diamond Model to describe high-level relationships between the adversaries, capabilities, infrastructure, and victims of intrusions.

この攻撃は日本の主要な暗号資産サービスプロバイダーを標的にしているとみられ、ビットコインやイーサリアムなどの取引に関連した攻撃と考えられている。暗号資産に関する犯罪報告が増えており、脅威者にとって暗号資産は魅力的な標的となっていることがわかる。