北朝鮮サイバー脅威グループが新たなマルウェアキャンペーン macOSが標的に：セキュリティニュースアラート

SentinelLabsは北朝鮮のサイバー脅威グループが新たなマルウェアキャンペーンを展開していると報告した。この攻撃は偽の暗号通貨ニュースを装った電子メールを通じて実行され、macOSを標的としている。

[後藤大地，有限会社オングス]

　SentinelOneの脅威インテリジェンスおよびマルウェア分析チームであるSentinelLabsは2024年11月7日（現地時間）、北朝鮮のサイバー脅威グループ「BlueNoroff」が新たなマルウェアキャンペーンを展開していると伝えた。暗号通貨関連の偽ニュースを装った電子メールや悪意のあるPDFファイルを装ったアプリケーションが使われ、「macOS」を標的にしていることが確認されている。

北朝鮮の攻撃者がmacOSを標的とした脅威キャンペーンを展開中

　BlueNoroffはこれまで多くの暗号通貨の窃取を目的としたキャンペーンを展開したことで知られている北朝鮮のサイバー脅威グループだ。過去には主に「RustDoor」や「RustBucket」といったバックドアマルウェアを使ったキャンペーンが確認されており、これらはBlueNoroffによるサイバー犯罪とみられている。

　SentinelLabsの調査によると、BlueNoroffは新しい多段階のマルウェアを使って暗号通貨関連の企業を標的にしていることが分かった。「Hidden Risk」と名付けられたこのキャンペーンでは新たにzshenv構成ファイルを悪用した持続性メカニズムが使われ、従来の永続化手法に比べてさらに脅威度が増していると報告している。

　Hidden Riskキャンペーンでは暗号通貨のニュースを装ったフィッシングメールがルアーとなっている。電子メールにはビットコインなどの暗号通貨に関する興味を引く内容が含まれている。また、実在する学者名義の偽PDFリンクが含まれており、クリックするとPDFファイルに偽装した悪意のあるアプリケーションがダウンロードされる。このアプリケーションが起動すると、本物のPDFドキュメントが表示される。このPDFドキュメント表示の裏でマルウェアがインストールされてしまう。

　感染後、マルウェアはzshenvファイルに悪意のあるコードを埋め込んでmacOSのシェル環境で持続的に動作する。zshenvファイルはログインシェル、インタラクティブシェル、シェルスクリプト実行時などzshが起動されるたびに読み込まれるため、攻撃者はユーザーの注意を引くことなくマルウェアを動作させ続けられる。この新たな手法は、従来のインタラクティブシェルとして起動された際にのみ読み込まれるzshrcファイルを利用した持続性の低い手法とは異なり、より強力で永続的だ。

　SentinelLabsは北朝鮮によるサイバー攻撃が従来のソーシャルメディアを通じた「グルーミング」型の攻撃から、Hidden Riskのようなフィッシングメールを利用した直接的な攻撃に移行するケースが増えてきていると警告している。また、macOSユーザー、特に組織的な環境にいるユーザーに対してセキュリティを強化し潜在的なリスクに対する認識を高めるよう推奨している。