北朝鮮のハッカーがmacOSを標的とした革新的なマルウェアを展開

サイバーセキュリティの専門家は、北朝鮮のハッカーが国家の取り組みを支援し、国際制裁を回避するために資金を盗むことを主な目的とした大胆なサイバー侵入を行っていると一貫して警告してきた。Jamf が最近実施した調査では、これらの悪意のある行為者に関連する高度なマルウェアが明らかになった。この特定のマルウェアは、悪意のあるコンテンツがないかファイルをスキャンする人気のサービスである VirusTotal で発見された。興味深いことに、このマルウェアは当初「クリーン」に分類されていた。この悪意のあるソフトウェアには 3 つの異なるバージョンがあり、1 つは Go で開発され、もう 1 つは Python で開発され、3 つ目は Flutter を使用している。

Flutter: 開発者とサイバー犯罪者にとっての諸刃の剣

Google が作成したオープンソース フレームワークである Flutter を使用すると、開発者は単一の Dart コードベースから iOS や Android などの複数のプラットフォーム向けのアプリケーションを作成できます。このクロスプラットフォーム ユーティリティにより、Flutter は正当な開発者にとって貴重な資産となりますが、サイバー犯罪者にとっても魅力的な選択肢となります。Flutter のコード構造は本質的に複雑であるため、マルウェアがわかりにくくなり、セキュリティ システムによる潜在的な脅威の検出が困難になります。

偽装された脅威: クローンゲーム

このマルウェアは、GitHub からクローンされたありふれたマインスイーパー ゲームを装って動作していました。その悪意ある意図は、 にあるコマンド アンド コントロール (C2) サーバーとの接続を確立することを目的として、ダイナミック ライブラリ (dylib) ファイル内に隠されていましたmbupdate.linkpc.net。このドメインは、北朝鮮のマルウェアと以前から関連付けられていました。幸いにも、Jamf チームが調査したところ、サーバーは休止状態で、「404 Not Found」エラーのみを返していたため、攻撃は実現しませんでした。

欺瞞的な実行と潜在的な危険性

このマルウェアの特に巧妙な点は、C2 サーバーから送信された AppleScript コマンドを実行する機能です。検出を回避するために、コマンドを逆順に実行する独自の手法が採用されています。Jamf の実験では、このマルウェアがあらゆる AppleScript コマンドをリモートで実行できることが確認されました。攻撃の実行が続行された場合、ハッカーが感染したシステムを広範囲に制御できるコマンドも実行されました。

結論と勧告

この事件はハッカーによる予備テストのようで、彼らが Apple のセキュリティ対策を回避する技術を磨いていることを示しています。Flutter 自体は悪意のあるものではありませんが、その設計は本質的に有害なコードを隠蔽するのに役立つため、正当な開発ツールが悪意のある目的に転用されるという憂慮すべき傾向が浮き彫りになっています。サイバーセキュリティの脅威が進化する中、ユーザー、特に企業環境のユーザーは、警戒を怠らず、セキュリティのベストプラクティスを採用することが不可欠です。

出典と画像