注意してください！北朝鮮のハッカーが非常に創造的な方法でMacユーザーを狙っています

SentinelLabs、サイバーセキュリティ企業SentinelOneの脅威研究およびインテリジェンス部門は、北朝鮮の悪意のある攻撃者によってmacOSデバイスを標的とする新しく洗練された攻撃キャンペーン「NimDoor」を調査しました。 この複雑な計画には、Web3の小規模企業で使用されるデバイスに多くの攻撃シーケンスを導入するためにNimプログラミング言語を使用することが含まれています。これは最近のトレンドです。 自称調査官のZachXBTは、韓国のITスタッフに対して行われた一連の支払いを発見しました。これは、この巧妙なハッカーグループの一部である可能性があります。 攻撃はどのように行われましたか SentinelLabsの詳細な報告書は、Macデバイスを侵害するための新しくて理解しにくい方法を説明しています。 馴染みのある方法で始めます: 信頼できる連絡先を装ってCalendlyを通じて会議をスケジュールし、その後ターゲットはZoomアプリの更新のためにメールを受け取ります。 更新スクリプトは、制御されたサーバーから合法的なZoom会議のリンクに第2段階スクリプトを取得して実行する機能を持つ3行のマルウェアコードで終了します。 リンクをクリックすると、2つのMac用バイナリファイルが自動的にダウンロードされ、2つの独立した実行チェーンが初期化されます。最初のファイルは、一般的なシステム情報とアプリケーションの特定のデータを削除します。2つ目のファイルは、攻撃者が影響を受けたマシンに長期的にアクセスできることを保証します。 その後の攻撃は、トロイの木馬を介して2つのBashスクリプトをインストールすることによって続きます。1つのスクリプトは、特定のブラウザ（Arc、Brave、Firefox、Chrome、Edge）からデータをターゲットにするために使用されます。もう1つのスクリプトは、Telegramの暗号化されたデータと、それを復号化するために使用されるblobを盗みます。その後、データは制御されたサーバーに抽出されます。 このアプローチがセキュリティアナリストにとって独特で挑戦的な理由は、マルウェアを導入し偽装するために多くのマルウェアコンポーネントとさまざまな技術を使用することにあり、検出が非常に困難になるからです。 お金を追跡する ZachXBT、匿名のブロックチェーン調査者は、最近Xにおいて、複数のプロジェクトに取り組んでいる朝鮮民主主義人民共和国(DPRK)の多くの開発者に対して行われた大規模な支払いに関する最新の発見を投稿しました。 彼は12の異なる会社で働く8人の労働者を特定しました。 彼の発見は、276万USDCがサークルのアカウントから毎月開発者に関連するアドレスに送信されていることを示しています。これらのアドレスは、2023年にテザーによってブラックリストに載せられたアドレスに非常に近く、そこにはシム・ヒョン・ソプという容疑者が関与しています。 ザックはまだ類似のアドレスグループを監視し続けていますが、それらがまだ活動しているため、いかなる情報も公開していません。 彼は、これらの労働者が契約の所有権を握ると、基本的なプロジェクトが高いリスクにさらされると警告しました。 「私は、あるグループが多くのDPRK ITW (IT従業員)を雇うとき、それがスタートアップ企業が失敗する合理的な指標であると信じています。他の業界への脅威とは異なり、これらの従業員はあまり洗練されていないため、主にそのグループ自身の不注意の結果です。」