Huntressは6月18日(米国時間)、「Inside the BlueNoroff Web3 macOS Intrusion Analysis|Huntress」において、北朝鮮の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「BlueNoroff(別名:Sapphire Sleet、TA444)」がWeb会議サービス「Zoom」を悪用してマルウェアを配布したと報じた。

BlueNoroffはディープフェイクを用いて標的企業の管理職および社外関係者になりすまし、従業員にマルウェアをインストールさせたという。

  • Inside the BlueNoroff Web3 macOS Intrusion Analysis|Huntress

    Inside the BlueNoroff Web3 macOS Intrusion Analysis|Huntress

侵害経路

初期の侵害経路はTelegramのメッセージとされる。攻撃者は標的従業員との対話を求める内容と、Google Meetセッションに見える日程調整ツール「Calendly」のリンクを送信。標的従業員がリンクをクリックすると、攻撃者が管理する偽のZoomドメインにリダイレクトされたという。

数週間後、従業員は予定のZoom会議に参加。画面上には会社の管理職および社外関係者が登場し、正当な会議と思わせておきながら、実際はディープフェイクによる偽物だったとされる。

会議中、従業員はマイクを使用できない不具合に遭遇している。不具合が故意によるものか演出かはわからないが、攻撃者は修復に必要としてZoom拡張機能のインストールを要求し、Telegramからリンクを送信した。

従業員は指示に従いリンクをクリックし、「zoom_sdk_support.scpt」というファイル名のAppleScriptをダウンロード、実行している。このスクリプトを実行するとZoom SDKの正規のWebサイトを表示するが、同時にバックグラウンドで別のスクリプトが実行され、Rosetta 2のサイレントインストールと追加のペイロードがダウンロードされる。

被害環境から発見された8つのペイロード

スクリプトは次にZoomのアップデートに偽装して管理者パスワードの入力を求め、入力を確認すると追加の処理を実行して履歴を削除する。追加の処理については明らかになっていないが、被害環境からは次の8つのペイロードが発見されている。

  • Telegram 2 - Nimで記述された永続性のあるペイロードの起動バイナリ
  • Root Troy V4 - Goで記述されたバックドア
  • InjectWithDyld - マルウェアローダー。macOS上でプロセスインジェクションを可能にする機能を持つ
  • Base App - InjectWithDyldによってダウンロードされる無害なアプリ。プロセスインジェクションの元プロセスになる
  • Payload - InjectWithDyldによってダウンロードされる遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)。プロセスインジェクションのインプラント
  • XScreen - キーストローク、クリップボード、画面の監視機能を備えたキーロガー
  • CryptoBot - 暗号資産関連のファイルを標的とする情報窃取マルウェア
  • NetChk - ランダムな数字を永久に生成するバイナリ
  • 侵害経路 - 引用:Huntress

    侵害経路  引用:Huntress

ターゲットはmacOSか?

Huntressによると、この攻撃ではmacOS特有の機能を悪用していることが確認されている。使用されたマルウェアもmacOSに特化しており、BlueNoroffはmacOSに注力して戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を進化させているものとみられる。

過去、macOSは比較的安全なオペレーティングシステムとされてきた。しかしながら、本件ではプロセスインジェクションにも成功しており、Windowsと同様に積極的なセキュリティ対策が必要となっている。

会議アプリを悪用した攻撃への対策

Huntressは会議アプリを用いた同様の攻撃を回避するために、次の対策を推奨している。

  • しばらく連絡を取っていない知人や、通常一緒に参加することのない個人からの緊急マークの付いたグループ会議への招待に注意する
  • 「開催日直前のプラットフォーム変更」、「拡張機能やプラグインのインストール要求」、「人気のないトップレベルドメイン(TLD: top-level domain)の使用」、「リモートアクセスおよび同様の機能の要求」については常に警戒する
  • これら兆候がみられたり安全だと確信できない場合は会議を直ちに終了し、セキュリティチームや関連部署に報告する