北朝鮮のハッカーがMacマルウェアで暗号通貨を狙う

サイバーセキュリティ企業Huntressは、暗号通貨セクターのMacユーザーを狙った高度に洗練されたハッキングキャンペーンを発見しました。このキャンペーンは、ディープフェイクのZoomコール、巧妙なソーシャルエンジニアリング、Mac特有のマルウェアを利用した異常に洗練された操作を行っています。

Huntressは、パートナーからの疑わしい活動の報告を受けて、2025年6月11日に侵入調査を開始しました。この攻撃は、少なくとも2017年から暗号通貨セクターを財政的な目的で狙っている北朝鮮のハッキンググループBlueNoroff（別名Sapphire SleetまたはTA444）に起因しています。

ハッカーは、ディープフェイク技術を使用して、偽のZoomミーティングで企業の幹部を偽装し、暗号通貨を盗むことを目的としています。

詐欺はどのように機能するのか

すべては、暗号通貨財団の従業員（ターゲット）が、外部の連絡先からTelegramで会議をリクエストする一見無害なメッセージを受け取ったことから始まりました。攻撃者は、Google Meetコールをスケジュールするように見えるCalendlyリンクを共有しましたが、それをクリックすると、ユーザーは脅威者が制御する偽のZoomドメインにリダイレクトされました。

数週間後、従業員は、会社の上層部や外部の連絡先を模倣したディープフェイクで構成された「Zoomミーティング」に参加しました。会議中、従業員はマイクを使用できず、ディープフェイクは「Zoom拡張機能」をダウンロードするよう指示しました。この拡張機能へのリンクはTelegramで送信されましたが、実際にはトラブルシューティングツールとして偽装された悪意のあるAppleScriptファイル（zoom_sdk_support.scpt）でした。

ダウンロードされると、AppleScriptは最初にZoom SDKの正当なウェブページを開きましたが、10,500行以上の空白行の後、悪意のあるウェブサイトhttps[://]support[.]us05web-zoom[.]bizからペイロードをダウンロードして実行しました。

Huntressが調査を開始した時点で、最終ペイロードはすでに攻撃者のサーバーから削除されていました。しかし、彼らはマルウェアが何をするために設計されていたのかについて貴重な洞察を提供するVirusTotal上のバージョンを見つけることができました。

「スクリプトはbash履歴のロギングを無効にすることから始まり、Apple Silicon Macがx86_64バイナリを実行できるようにするRosetta 2がインストールされているかどうかを確認します」とHuntressの研究者は水曜日のブログ投稿で説明しました。

「インストールされていない場合は、x86_64ペイロードが実行できるように静かにインストールします。その後、ユーザーの視界から隠れるように、.pwdという名前のファイルを作成し、悪意のある偽のZoomページからペイロードを/tmp/icloud_helperにダウンロードします。」

特化したMac専用マルウェア

** 標準的な市販のマルウェアとは異なり、この攻撃には少なくとも8つの異なるコンポーネントを含むカスタムビルドのツールキットが関与しており、すべてmacOSに特化しています。それらは次の通りです：

• Telegram 2: プライマリバックドアを起動するためのNimで書かれた永続的なバイナリ。
• Root Troy V4 (remoted): 他の悪意のあるツールをダウンロードして実行できるGoで書かれたフル機能のバックドア。
• InjectWithDyld (“a”): Root Troy V4によってダウンロードされるC++バイナリローダーで、2つの追加インプラントを復号化して読み込む役割を果たします。
• Base App: 悪意のあるコードの注入ターゲットとして機能する一見無害なSwiftアプリケーション。
• Payload: 感染したシステムでコマンドを実行するために設計されたNimで書かれた別のインプラント。
• XScreen (keyboardd): キーストローク、クリップボードの内容、画面の活動をキャプチャできるObjective-Cで書かれた強力なキーロガー。
• CryptoBot (airmond): 被害者のマシンから暗号通貨関連のファイルを収集するために設計されたGoベースのツール。
• NetChk: 意味のある機能を持たないおとりバイナリで、無限にランダムな数字を生成し、混乱や誤誘導のために含まれている可能性があります。

特に、マルウェアは、Macのディスプレイがスリープ状態のときにのみコマンドを実行するなど、検出を回避するための巧妙なトリックを使用しました。それは、AppleScriptとプロセスインジェクションを使用してmacOSのセキュリティレイヤーを回避するように慎重に設計されていました。

macOSユーザーへの警告

歴史的に、macOSはより安全なオペレーティングシステムと見なされてきましたが、その認識はますます古くなっています。より多くの企業がMacを採用し、リモートワークが標準となるにつれて、攻撃者は迅速に適応しています。

「過去数年間で、私たちはmacOSが脅威アクターの大きなターゲットになっているのを見てきました。特に高度に洗練された国家支援の攻撃者に関してです」とHuntressの研究者は指摘しました。「これらの攻撃とその発生頻度が増加し続ける中で、あなたのMacを保護することがますます重要になります。」

このキャンペーンは、BlueNoroffのような国家支援のグループが関与している場合、ビデオ通話でさえも常に見かけ通りではないことを明確に示しています。