複数ライセンス割引見積
脅威データベース 高度な持続的脅威 (APT) JINX-0164 脅威アクター

JINX-0164 脅威アクター

高度な持続的脅威 (APT), マルウェア, モバイルマルウェアMezoまで
翻訳内容:

これまで記録されていなかった脅威アクター「JINX-0164」は、仮想通貨関連組織を標的とした高度なサイバー攻撃を仕掛けており、採用を装ったソーシャルエンジニアリングと独自開発のmacOSマルウェアを用いてデジタル資産を盗み出している。少なくとも2025年半ばから活動しているこの金銭目的のグループは、開発者を重点的に攻撃対象としており、少なくとも1件の事例ではソフトウェアサプライチェーンへの侵害を実行したことが確認されている。

この攻撃キャンペーンは、巧妙な採用手法、マルウェアの展開、そしてCI/CD環境への深い侵入という、高度な組み合わせを実証するものです。攻撃者は従業員のワークステーションを侵害することで、開発インフラストラクチャやコード配布システムへと横方向に侵入することに成功し、侵入の範囲と影響を大幅に拡大させました。

採用詐欺が侵入の入り口となる

JINX-0164は、LinkedInの巧妙なプロフィールを利用して、暗号通貨関連組織に所属する開発者や従業員に接触を試みます。被害者は、正規のビデオ会議プラットフォームを装った不正なドメイン上で開催される仮想会議に招待されます。

偽の会議設定プロセス中、標的は会議クライアントまたは技術的な修正プログラムと思われるものをダウンロードするように指示されます。実際には、ダウンロードされたファイルは、偽装されたドライバ配布ドメイン「apple.driver-store.com」から、AUDIOFIXと呼ばれるPythonベースのmacOS情報窃盗型リモートアクセス・トロイの木馬を取得することで、感染連鎖を開始します。

感染プロセスは、被害者のシステムアーキテクチャを識別できるbashスクリプトによって促進され、マルウェアはIntelベースとApple Siliconの両方のmacOSデバイスでシームレスに動作します。ペイロードは「coreaudiod」という名前のシステムオーディオドライバを装い、「ChromeUpdater」としてローカルに保存され、macOSのlaunchctlメカニズムを使用して起動され、永続性を維持します。

AUDIOFIXはシステムの深刻な侵害を可能にする

AUDIOFIXは一度展開されると、広範な認証情報窃盗および偵察活動を実行するとともに、内部インフラストラクチャへの横方向の移動も支援します。研究者らは、このマルウェアが開発システムに悪意のあるペイロードを注入し、ソースコードを改変して、追加のエンドポイントを侵害し、暗号通貨ウォレットの認証情報を収集しようとしていることを確認しました。

このマルウェアは、以下のような幅広い機密情報を盗み出す能力を持っています。

  • パスワードマネージャーの認証情報、ブラウザデータ、iCloudキーチェーンファイル、SSHキー、管理者認証情報、コンソール履歴レコード、および構成ファイル
  • 暗号通貨ウォレットアドレス、暗号通貨サービスにリンクされたブラウザ拡張機能データ、およびDiscord、Slack、Telegramのアクティブなセッション

AUDIOFIXは情報窃盗だけでなく、リモートコマンド実行、ファイル削除、ペイロード配信、偵察活動、感染システムからのデータ漏洩などもサポートしています。

MiniRATはサプライチェーンの悪用を通じて脅威を拡大する

この作戦のもう一つの主要な要素はMiniRATで、これは「@velora-dex/sdk」という名前の侵害されたnpmパッケージに関連付けられたGo言語ベースのバックドアです。このパッケージは、VeloraDEXプラットフォーム上でトークン交換、デルタ取引、指値注文に使用される正規の分散型金融ツールキットに関連付けられていました。

この悪意のあるバージョンのパッケージは、リモートサーバーからシェルスクリプトを取得し、最終的にmacOS専用のMiniRATバイナリをデプロイします。インストール後、このマルウェアは攻撃者がファイルをアップロードしたり、任意のシェルコマンドを実行したり、攻撃者が制御するインフラストラクチャから追加のペイロードをダウンロードしたりすることを可能にします。

JINX-0164は、偽の採用機会や、被害者に不正なソフトウェア修正プログラムのインストールを促す捏造された技術的問題など、ソーシャルエンジニアリングの手法を繰り返し用いてきた。この一貫した手法は、このグループが侵入の主要な手段として人間操作を重視していることを示している。

北朝鮮のサイバー作戦との関連性の可能性

このキャンペーンのいくつかの特徴は、BlueNoroff、Contagious Interview、UNC1069といった北朝鮮のサイバー脅威グループが過去に行っていた活動と類似している。研究者らは、標的のパターン、偽装ドメイン、Astrill VPNなどのVPNサービスの利用状況に類似点があることを指摘した。

こうした重複はあるものの、捜査当局はJINX-0164と北朝鮮の国家支援作戦を直接結びつけるインフラ上のつながりを確証できていない。現在のところ、決定的な帰属を示す証拠というよりは、作戦上の類似性を示唆するにとどまっている。

トレンド

メールボックスサービスアップグレードに関するメール詐欺

フィッシング, スパム
予期せぬ、即座の対応を求めるメールには、常に注意が必要です。サイバー犯罪者は、機密情報を盗み出す目的で、フィッシング詐欺を日常的なセキュリティ警告やサービス通知に見せかけることが頻繁にあります。いわゆる「メールボックスサービスアップグレード」メールも、そのような詐欺の一種であり、正規のメールプロバイダー、企業、組織、または公的機関とは一切関係ありません。 偽のメールボックスアップグレード通知 サイバーセキュリティ研究者らは、「メールボックスサービスアップグレード」メールを分析し、受信者を騙してメールアカウントの認証情報を漏洩させるために作成されたフィッシングメールであることを確認した。こ...

BTMOB ラット

マルウェア, リモート管理ツール
BTMOB RATは、マルウェア・アズ・ア・サービス(MaaS)モデルを通じて配布される、高度なAndroidリモートアクセス型トロイの木馬(RAT)です。2025年2月にサイバーセキュリティ研究者によって初めて報告されたこのマルウェアは、サイバー犯罪者が技術的な専門知識やプログラミングの知識を必要とせずに、完全に機能するスパイツールキットを購入またはレンタルすることを可能にします。 この脅...

Kazowin Casino Scam

不正なウェブサイト
Kazowinは、オンラインギャンブルを通じて手軽に仮想通貨を獲得できる方法として売り込まれています。無料の初期資金、低リスク、そして画面上に直接表示される急速に増加するアカウント残高といった仕組みは魅力的です。こうした謳い文句は、疑念が生じる前に信頼を築くことを目的としています。 正規のギャンブルプラットフォームが、条件や本人確認なしに見知らぬ人に多額の仮想通貨を無料で提供することは稀です...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
30,113
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
26,656
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
21,340
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...