Telegram誘導とターミナル操作で侵入 仮想通貨業界で警戒が求められる
北朝鮮の国家支援を受けるラザルスグループが、macOS向けマルウェア「Mach-O Man」を用いた攻撃キャンペーンを展開している。
標的は仮想通貨やフィンテック企業の関係者、さらにMacを業務で使用する経営幹部とされる。攻撃はTelegramを通じた緊急会議の招待から始まる。被害者はZoomやMicrosoft Teams、Google Meetを装った偽ページへ誘導され、接続エラーの解決を装ってターミナルへのコード貼り付けを促される。この操作によりteamsSDK.binがインストールされ、偽のmacOSアプリバンドルやデジタル署名を用いた処理を経て侵入が成立する。
攻撃の起点がユーザー自身の操作となるため、Gatekeeperなどのセキュリティ機構を回避しやすい構造となっている。複雑な脆弱性を直接悪用する手法ではない一方、日常業務の流れに組み込まれることで効果的とされる。特に複数の業務を同時に処理する経営幹部や開発者に対して有効とされる。
認証情報とキーチェーンを狙う多段階マルウェア
Mach-O Manは複数のステージで構成され、GoでコンパイルされたMach-Oバイナリーが順次実行され、内部にはシステム情報を収集するモジュールがあり、ホスト名やUUID、CPU情報、ネットワーク構成、実行中プロセスなどを取得する。
さらにChromeやFirefox、Safariなど複数のブラウザーを対象に、ログイン情報やCookie、macOSのキーチェーンデータを収集する。収集された情報は圧縮され、TelegramボットAPIを通じて送信される。
永続化にはminst2.binが用いられ、LaunchAgentファイルを設置することでログイン時に自動起動する仕組みを構築する。最終段階ではMacrasv2が情報窃取を担う。このツールキットは攻撃後に自己消去が可能とされ、検知の難易度を高める要因となる。1台の端末侵害が社内システムやSaaS、金融資産へのアクセスにつながる可能性も指摘されている。
ラザルスグループはこれまでにも大規模な仮想通貨関連攻撃に関与してきた。ソースではRonin Network、Bybit、DMM Bitcoin、KelpDAO、Drift、WazirXなどの事例が挙げられている。Chainalysis(チェイナリシス)は2017年以降の累計獲得額を67億ドル(約1兆円)と推定している。
CertiK(サーティック)の研究員ナタリー・ニューソン(Natalie Newson)氏は、同一期間に複数の攻撃が確認された点に触れ、活動は単発ではなく継続的なものと指摘した。同氏はこれを国家主導の金融工作と位置付け、その規模と速度に警戒を示している。
