SentinelOneは7月2日(米国時間)、「macOS NimDoor|DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware|SentinelOne」において、マルウェアを配布する新たなキャンペーンを発見したと報じた。

北朝鮮の国家支援を受けているとみられる脅威アクターは、C++およびNimで開発された新しいマルウェア「NimDoor」を使用し、駆除しても復活する特異な永続性を確保していると見られる。

  • macOS NimDoor|DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware|SentinelOne

    macOS NimDoor|DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware|SentinelOne

侵害経路

SentinelOneの調査によると、初期の侵害経路はTelegramを使用したソーシャルエンジニアリング攻撃だという。脅威アクターは信頼された連絡先になりすまし、被害者をCalendlyを介した会議に招待したという。この招待にはZoom会議へのリンクと、「Zoom SDKアップデートスクリプト」を実行するように要求する内容が含まれていたとされる。

被害者が指示に従いスクリプトを実行すると、後続の悪意のあるスクリプトがダウンロードおよび実行され、「check」という名前のHTMLファイルがダウンロードされる。

HTMLファイルは実行スクリプトを介して実行され、多段階の感染チェーンが開始される。感染チェーンの初期段階ではスクリプトを使用した情報窃取が行われ、第2段階ではmacOSのLaunchAgentsを悪用した永続性が確保される。

ユーザーがログインまたは再起動すると、LaunchAgentsは感染チェーンの中間段階のバイナリを実行する。このバイナリのファイル名は「GoogIe LCC(小文字の「L」ではなく大文字の「i」を使用)」とされる。

感染チェーンの最終段階ではマルウェア本体の「CoreKitAgent」が実行される。CoreKitAgentにはAppleScriptが埋め込まれており、osascriptを使用して実行され情報窃取マルウェアおよびバックドアとして機能する。

  • LaunchAgentsにより開始される中間段階以降の感染チェーン - 引用:SentinelOne

    LaunchAgentsにより開始される中間段階以降の感染チェーン 引用:SentinelOne

特異な永続性

CoreKitAgentからは特異な永続性を確保する機能が確認されている。ユーザーがCoreKitAgentを終了させるとシグナルハンドラーが呼び出され、LaunchAgentsにGoogIe LCCを再登録する。さらにGoogIe LCCとCoreKitAgentのコピーを保存して実行権限を与える。

この機能が目的どおりに動作した場合、セキュリティソリューションによる駆除に反応して自動的にマルウェアを復活させる可能性がある。

セキュリティを破る研究開発に警戒を

SentinelOneは本件の分析と脅威アクターの過去の活動から、この脅威アクターはセキュリティを破る新手法の研究開発を積極的に行っている可能性があると指摘している。この脅威の高まりに対抗するため、同社は同業のセキュリティ企業や研究者に対し、Go、Rust、Nim、Crystalなど普段接することのないプログラミング言語についても理解し、どのようにして悪用しているか分析に尽力するように推奨している。

同社はこのキャンペーンへの具体的な回避策を提案していないが、初期の感染経路がTelegramを使用したソーシャルエンジニアリング攻撃とされることから、会議に偽装した同様の攻撃に警戒することが推奨される。

また、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて対策に活用することが望まれている。