北朝鮮が支援するサイバー犯罪集団「ラザルス(Lazarus)」(米政府は「ヒドゥン・コブラ」(HIDDEN COBRA)と命名)が、macOSを標的に、架空の仮想通貨関連企業を装ったマルウェアを作成しているという。またそのマルウェアは、仮想通貨取引所の従業員をターゲットにしている可能性が高いと指摘されている。
ランサムウェアの特定サービスを展開するマルウェアハンターチーム(MHT)が、macOS用マルウェアに関する情報をツィッター上で公開。企業向けにアップル製品管理ソリューションを提供するジャムフ(Jamf)のセキュリティ研究者パトリック・ウォードル氏が、自身のブログにおいて10月12日にその説明を行った。
macOS対象の仮想通貨関連マルウェアと関連
MHTとウォードル氏は、グーグル傘下の無償ウイルスチェックサービス「ウィルストータル(VirusTotal)」で検出できなかったマルウェアが、2018年夏にラザルスによって作成されたmacOS用マルウェアと関連があると警告した。ウィルストータルは、ユーザーがファイルをアップロードしたり、URLを指定したりすると、マルウェアを含んでいるかオンラインスキャンを行うという無償サービスだ。
悪意のある攻撃者は、架空の仮想通貨関連企業「JMTトレーディング(JMT Trading)」としてウェブサイトを立ち上げ、攻撃を実行していたという。マルウェアを仕込んだ仮想通貨取引アプリを作成し、オープンソースソフトウェアとしてソースコードをGitHubで公開したそうだ。
ウォードル氏は、問題のアプリのインストールプロセスを分析し、不正なパッケージやバックグラウンドで動作する起動デーモンを特定。攻撃者が作成したバックドア用スクリプトの機能の分析を行った。このバックドアは、感染したmacOSに関する完全な制御をリモートの攻撃者に対して提供するという。また、グーグルのウィルストータルでは(記事執筆時点では)検知できないと警告した。
なお同氏は、自分が開発したオープンソースのセキュリティツールでは適切に今回のマルウェアは検出できること、またユーザーがツール類を使わず手作業で確認したい場合は「/Library/LaunchDaemons/org.jmttrading.plist」「/Library/JMTTrader/CrashReporter」が存在するかどうか調べるといいことを説明した。
さらにウォードル氏は、今回のマルウェアがラザルスによって作成されたこと、またそのの標的は個人投資家ではなく、仮想通貨取引所の従業員の可能性が高いと考えているそうだ。
【関連記事:仮想通貨取引所への攻撃や不正マイニングで知られる北朝鮮ハッカー集団、米財務省が制裁対象に】
翻訳・編集 コインテレグラフ日本版