北朝鮮のハッカーによる新たなサイバー攻撃
北朝鮮のハッカーが、NimDoorという高度なマルウェアを展開し、暗号通貨企業を標的とした新たなサイバー攻撃キャンペーンを開始しました。このマルウェアはAppleデバイスに侵入し、内蔵のメモリ保護を回避して暗号ウォレットやブラウザから機密データを抽出するように設計されています。
攻撃の手法
攻撃は、Telegramなどのプラットフォームでのソーシャルエンジニアリング手法から始まり、ハッカーは信頼できる連絡先を装って被害者との会話を始めます。その後、ターゲットを偽のZoomミーティングに招待し、Google Meetセッションに偽装したファイルを送信します。このファイルは、正当なZoomアップデートを模倣しており、悪意のあるペイロードを配信する手段となります。
NimDoorの機能と影響
実行されると、マルウェアは被害者のデバイスにNimDoorをインストールし、特に暗号ウォレットや保存されたブラウザの認証情報を狙って機密情報を収集します。サイバーセキュリティ企業SentinelLabsの研究者たちは、この新しい手法を発見し、Nimプログラミング言語の使用がこのマルウェアを際立たせていると指摘しました。
NimでコンパイルされたバイナリはmacOSを標的とすることは稀であり、従来のセキュリティツールには認識されにくく、分析や検出が難しくなる可能性があります。
戦略的な利点と機能
研究者たちは、北朝鮮の脅威アクターが以前にGoやRustなどのプログラミング言語を試していたことを観察しましたが、Nimへの移行はそのクロスプラットフォーム機能による戦略的な利点を反映しています。これにより、同じコードベースがWindows、Linux、macOSで修正なしに実行でき、攻撃の効率と範囲が増加します。
悪意のあるペイロードには、ブラウザやシステムレベルのデータを密かに収集し、情報をまとめて攻撃者に送信するように設計された認証情報収集コンポーネントが含まれています。さらに、研究者たちは、マルウェア内にTelegramを標的とするスクリプトを特定し、暗号化されたローカルデータベースと対応する復号鍵の両方を抽出します。
遅延起動メカニズム
特筆すべきは、マルウェアが遅延起動メカニズムを採用しており、セキュリティスキャナーを回避するために操作を実行する前に10分待機することです。
