北朝鮮ハッカーが偽Zoomアップデートを配布でマルウェア「NimDoor」を拡散
高度サイバー攻撃で知られる北朝鮮の国家支援ハッカー集団が、新たなmacOSマルウェア「NimDoor」を拡散している事がわかった。
北朝鮮ハッカーは、仮想通貨関連企業を狙ったサイバー攻撃キャンペーンの一環として、Appleデバイスを狙った新種のマルウェアNimDoorを使用。サイバーセキュリティ企業Sentinel Labsが2025年7月2日(水曜日)に発表した報告書によると、攻撃者はテレグラム(Telegram)などのメッセージアプリで信頼できる人物になりすまし、Google Meetのリンクから偽のZoomミーティングを要求。その後、Zoomアップデートファイルを装ったファイルを被害者に送信してくるという。
NimDoorは、北朝鮮のサイバー攻撃戦略における大きな進歩であり、2025年1月に初めて確認され、仮想通貨およびWeb3関連企業を中心に、macOSユーザーを標的に設計されたものだ。Appleのメモリ保護を回避し、仮想通貨ウォレットを標的とした情報窃盗ペイロードを展開。Web3および仮想通貨関連企業を標的にするよう設計されており、Nimプログラミング言語とAppleScriptを用いてシステムに侵入。常駐化を確立し、偽のZoomアップデートを装った機密データを盗み出す仕組みとなっている。
さらに、CoreKitAgentやGoogle LLCなどのモジュール型コンポーネントとコンパイル時の難読化を利用することで、検出を回避し、削除を回避。NimDoorは、シグナルベースの永続性を利用するため、macOS環境にとって大きな脅威となる。
仮想通貨企業とWeb3への影響
ビジネス出版物などの組織を装ったスピアフィッシングメールは、攻撃の初期段階で、これらのメールの目的は、被害者を悪意のあるリンクをクリックさせることにある。
これらのURLは、RARアーカイブ内のVBS (Visual Basic Script)を配信し、おとりのGoogleドキュメントファイルを開く際に、悪意のあるコードを秘密裏に実行する。このコードはシステム情報を生成し、永続性を維持するためのスケジュールされたタスクを設定。今年3月に確認されたその後の攻撃では、ハッカーは米国の国家安全保障担当官を装い、偽の会議関連クエリを記載したPDF添付ファイルを用いて標的を欺き、認証コードを入力させることでマルウェアの展開を容易にしていた。
Web3と仮想通貨企業への注目は、北朝鮮による金銭目的の侵入行為を浮き彫りにしており、国際制裁の影響を受けている。これらの脅威の規模は、2025年2月に発生したTraderTraitorグループによるものとされる15億ドル相当のBybitの盗難によって明らかになっている。
安全だと思いすごしなmacOSを標的とするNimDoorの能力によって、仮想通貨セクターのインフラが危険にさらされており、包括的なサイバーセキュリティ対策の必要性を改めて浮き彫りにしている。
