北朝鮮のラザルスグループによる新たなマルウェア展開
北朝鮮のラザルスグループが「Mach-O Man」という新しいmacOSマルウェアを展開し、偽の会議招待を利用して暗号通貨の幹部を狙っています。このマルウェアは、9桁のDeFi襲撃を資金調達するために使用されていると、ブロックチェーンセキュリティ企業CertiKが報告しています。
マルウェアの手法と影響
ラザルスは、フィンテックおよび暗号通貨の幹部をターゲットにした新たなマルウェアキャンペーンを展開しており、この作戦は「Mach-O Man」と呼ばれています。ソーシャルエンジニアリングとターミナルレベルのペイロードを組み合わせることで、暗号通貨や機密企業データを盗み出し、ディスク上にほとんど痕跡を残さないように設計されています。
CertiKの研究者によると、このキャンペーンはClickFix技術に依存しており、被害者は偽のサポートや会議の流れの中で「修理」や「検証」コマンドのように見えるものをmacOSターミナルに直接貼り付けるよう誘導されます。
具体的には、誘導は偽のオンライン会議招待として届き、「被害者をMacターミナルに悪意のある修理コマンドを貼り付けさせる」ものであり、ツールキットは使用後に自動的に削除され、フォレンジック調査を妨害することがCertiKの分析で指摘されています。
脅威の拡大と影響
脅威インテリジェンス企業SOC Primeによると、「Mach-O Man」フレームワークはラザルスの有名なチョリマ部隊に関連しており、ハイバリューな暗号通貨および金融機関を狙った妥協されたTelegramアカウントや偽の会議招待を通じて配布されています。
CoinDeskによると、このツールキットにはホストをプロファイリングし、持続性を確立し、Telegramベースのコマンド&コントロールを介して資格情報やブラウザデータを抽出するために設計された複数のMach-Oバイナリが含まれています。
Google CloudのMandiantは、ClickFixとAI支援のビデオディープフェイク、偽のZoomコール、ハイジャックされたメッセージングアカウントを組み合わせた類似のmacOSキャンペーンを以前に説明しています。
「このキャンペーンは、妥協されたTelegramアカウント、偽のZoom会議、AI支援の欺瞞を使用して、被害者をターミナルコマンドを実行させ、macOS感染チェーンに導いた」とMandiantの研究者は述べています。
最近の攻撃とその影響
CertiKの研究者ナタリー・ニュウソンは、最新の「Mach-O Man」波を、わずか2週間でDeFiプラットフォームDriftとKelpDAOから5億ドル以上を siphonしたラザルスのより広範なプッシュに関連付けています。
これらの事件では、ラザルスは取引会社に対するソーシャルエンジニアリングと、攻撃者が約116,500のrsETHをミントし、約2億9200万ドルの価値を排出することを可能にする高度なクロスチェーンの脆弱性を組み合わせたとされています。
KelpDAOが使用するブリッジインフラを提供するLayerZeroは、北朝鮮のラザルスグループがrsETHの脆弱性の「可能性のある行為者」であり、偽造されたクロスチェーンメッセージを可能にする単一障害点の検証者設計を非難しました。
「ラザルスは何年も暗号通貨エコシステムを狙っており、2023年と2024年に約20億ドルの仮想資産を盗んでいる」とセキュリティメディアSecurityWeekは、以前のClickFixを利用したキャンペーンを引用して報じています。
DeFiはすでにハッキングの記録的な最悪の月を経験しており、市場は今年さらに1億ドル以上の脆弱性を織り込んでおり、ラザルスのような国家に関連する攻撃者が暗号リスクにとって体系的になっていることを強調しています。
