-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
北朝鮮の新macOSマルウェア「NimDoor」、シグナルベースの永続化メカニズムで自己蘇生
BleepingComputer – July 2, 2025
北朝鮮の国家支援型ハッカーがWeb3や暗号資産に関連する組織への攻撃で使用する新たなmacOSマルウェアファミリー「NimDoor」を、SentinelOneの研究者らが分析。シグナルベースの永続化メカニズムを備えるこのマルウェアは、ユーザーにより終了させられたりシステムのリブートが行われたとしても自らを甦らせることができるという。
今年4月から、北朝鮮の脅威アクターグループによるものとされる暗号資産・Web3関連組織への攻撃がHuntabil.ITやHuntressなどから報告されてきた。これらの攻撃は、初期段階では北朝鮮アクターによく見受けられるソーシャルエンジニアリングの手法を採用しながらも、AppleScript、C++、Nimで書かれたスクリプトとバイナリを組み合わせるという新たな側面を持つ。
SentinelOneも4月のインシデントで使われたペイロードを分析。C++とNimでコンパイルされ、macOS上に展開されたこれらのバイナリをまとめて「NimDoor」と名付け、分析結果を報告している。
攻撃チェーンはまず、攻撃者がTelegram経由でターゲットに接触し、偽のZoomミーティングへ誘い出すというソーシャルエンジニアリング戦術からスタートする。ターゲットはCalendlyを使ってミーティングを設定するよう誘導され、その後Zoomミーティングのリンクを含むEメールを受信。このメールで実行を指示される「Zoom SDKのアップデート用スクリプト」とされるものにより、感染チェーンが開始することになる。
上記の偽Zoom SDKスクリプトは2種類のMach-Oバイナリ「a」および「installer」に繋がる。「a」から始まる感染チェーンは、trojan1_arm64というバイナリによってWSSベースのC2コミュニケーションを開始し、データ窃取用のスクリプト「upl」および「tlgrm」をダウンロード。これらのスクリプトを使い、ブラウザやTelegramデータベースからの情報窃取のほか、キーチェーンなどの情報を盗み出す。
一方で「installer」の感染チェーンでは、「GoogIe LLC」と「CoreKitAgent」という2つのバイナリが被害者システムへ投下される。GoogIe LLC(GoogIeの「I」は「L」の小文字ではなく、「i」の大文字)は環境データの収集やHEXエンコードされたconfigファイルの生成・temp pathへの書き込みを担い、永続性確立のためにmacOSのLaunchAgent(com.google.update.plist)をセットアップ。LaunchAgentはログイン時にGoogIe LLCを再実行し、後続の段階で使用するための認証キーを保存する。
もう1つのバイナリCoreKitAgentは、NimDoorフレームワークのメインペイロードで最も高度なコンポーネント。macOSのkqueueメカニズムを利用するイベント駆動型のアプリケーションで、非同期処理により実行を管理する。CoreKitAgentの最も特異的な機能は、シグナルベースの永続化メカニズム。これは、プロセスを終了させるために使われるシグナルであるSIGINTおよびSIGTERMのカスタムハンドラをセットアップしてこれらのシグナルが送信された際にこれをキャッチし、再度GoogIe LLCをデプロイして再インストールのルーティンを発動させるというもの。
CoreKitAgentはシグナルをキャッチするとLaunchAgent、GoogIe LLCのコピー、CoreKitAgent自体のコピーを書き出すことにより、「ユーザーがマルウェアを終了させようとするとコアコンポーネントが再度デプロイされる」という状態を確保しているという。またCoreKitAgentによりデコード・実行されるAppleScriptは、30秒ごとに攻撃者のインフラへビーコンを送り、システムデータを抜き出してリモートコマンドを実行するなど、軽微なバックドアとして機能する。
全体的に見て、今回分析されたNimDoorフレームワークは北朝鮮の脅威アクターに結びつけられるmacOSマルウェアファミリーの中でも特に複雑度が高く、そのモジュラー性とシグナルベースの永続化メカニズムの使用などからは、北朝鮮アクターがツールキットを進化させ、クロスプラットフォーム性能を拡張している様子が伺えるという。SentinelLABSのレポート記事では、関連するドメインやファイルパス、スクリプト、バイナリのIoCが提供されている。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
