NimDoorマルウェア

サイバーセキュリティ専門家は、NimDoorと呼ばれる、macOSを標的とした新たなステルス型マルウェアファミリーを発見しました。NimDoorは、高度な永続化技術、ステルス性の高いデータ窃取メカニズム、そして洗練された回避機能を備えており、深刻な脅威となります。この悪意のあるキャンペーンは、Web3および暗号通貨セクターを標的とする北朝鮮と連携した脅威アクターによるものとされています。

北朝鮮のハッカーがNimとmacOSに転向

北朝鮮との関連が疑われる脅威アクターは、現在、マルウェア攻撃にNimプログラミング言語を活用しています。これは、彼らのツールキットが継続的に進化していることを示しています。以前の攻撃ではGoやRustといった言語が利用されていました。Nimの新たな利用は、特に検知・分析が困難なクロスプラットフォームの脅威を作成するという、革新への意欲を示しています。

この攻撃では、攻撃者は特に Web3 と暗号通貨に重点を置く組織を狙っており、デジタル金融インフラの混乱や侵入を目的とした金銭目的の攻撃であることが示唆されています。

非常に珍しいmacOSテクニック

NimDoorが特に懸念されるのは、macOSへの感染において、従来とは異なるアプローチを採用していることです。特に注目すべきは、以下の点です。

• プロセス インジェクションは、macOS マルウェアでは珍しい手法であり、脅威が正当なプロセスを乗っ取って操作することを可能にします。
• 暗号化された C2 相互作用のための WSS (WebSocket Secure) 通信チャネル。
• SIGINT および SIGTERM シグナル ハンドラーを活用した新しい永続化方法。これにより、マルウェアは終了時またはシステムの再起動時に自身を再インストールできるようになります。

これらの機能により、目立たないように維持しながら、一般的なユーザーまたはシステムによって開始される中断に対して耐性を維持できます。

ソーシャルエンジニアリングを活用した攻撃チェーン

攻撃はソーシャル エンジニアリング戦略から始まります。

• 被害者はTelegramなどのプラットフォーム経由で連絡を受け、Calendlyを使用してZoomミーティングをスケジュールするように誘われます。
• 彼らは、ビデオ会議ソフトウェアとの互換性を確保するためのものとして、Zoom SDK 更新スクリプトを含む偽の電子メールを受信します。

これにより、悪意のあるAppleScriptが実行され、ユーザーを正規のZoomリンクにリダイレクトしながら、リモートサーバーから第2段階のスクリプトがダウンロードされます。第2段階のスクリプトは、以下の内容を含むZIPアーカイブを抽出します。

• 永続性を確立するためのバイナリ
• システムデータを盗むためのBashスクリプト

InjectWithDyldArm64の役割

感染プロセスの中核を成すのは、InjectWithDyldArm64（または略してInjectWithDyld）と呼ばれるC++ローダーです。このコンポーネントは、マルウェアを効果的かつ巧妙に展開するために不可欠です。まず、埋め込まれた2つのバイナリ（1つは「Target」、もう1つは「trojan1_arm64」）を復号します。復号後、Targetプロセスを一時停止状態で起動します。プロセスが一時停止している間に、ローダーはtrojan1_arm64バイナリをプロセスに挿入し、実行を再開します。この手法により、悪意のあるペイロードを非常にステルス性の高い方法で配信および起動することができ、標準的なシステム防御を回避して検出の可能性を最小限に抑えることができます。

資格情報の盗難とシステム監視

マルウェアがアクティブになると、リモートのコマンドアンドコントロール（C2）サーバーとの接続を確立し、複数の悪意ある操作を実行します。これには、詳細なシステム情報の収集、リモートから発行された任意のコマンドの実行、複数のディレクトリ間の移動、そしてこれらの操作の結果を攻撃者に送信することが含まれます。

trojan1_arm64コンポーネントの関与により、脅威はエスカレートします。このコンポーネントは、C2インフラからさらに2つのペイロードを取得することで攻撃を強化します。これらのペイロードは、機密情報を収集するために特別に作成されています。主な標的は、広く使用されているウェブブラウザ（Arc、Brave、Chrome、Edge、Firefox）に保存されているログイン認証情報と、Telegramメッセージングアプリケーションのユーザーデータです。

永続化メカニズム

このマルウェアは、主要コンポーネントに加え、CoreKitAgentと呼ばれるモジュールを起動するNimベースの実行ファイルも展開します。このモジュールは、マルウェアの動作を終了させようとする試みを監視することで、マルウェアの回復力を確保する上で重要な役割を果たします。マルウェアは自身の存在を維持するために、SIGINTおよびSIGTERM用のカスタムシグナルハンドラをインストールし、ユーザーまたはセキュリティツールがシャットダウンを試みた場合に自動的に再起動できるようにします。この組み込みメカニズムにより、マルウェアの持続性が大幅に強化されます。

攻撃者はAppleScriptを多用しており、感染初期段階だけでなく、マルウェアの動作全体を通して継続的な監視と制御に活用しています。このスクリプト機能を通じて、マルウェアはハードコードされたC2サーバーに30秒ごとに定期的にビーコンを送信し、現在実行中のプロセスの詳細を窃取し、リモートの脅威アクターが発行した新しいコマンドを実行します。

Nimがマルウェアをより危険なものにする理由

Nimプログラミング言語の使用は、攻撃者に顕著な利点をもたらします。Nimはコンパイル時に関数を実行できるため、攻撃者は以下のことが可能になります。

• 検出が難しい複雑なロジックを埋め込む
• バイナリ内の制御フローを難読化する
• 開発者コードとランタイムコードが混在し、分析が著しく困難になる

これにより、従来のマルウェア検出エンジンによる可視性が低下した、コンパクトで高機能なバイナリが実現します。

NimDoorは、macOSがもはや高度な持続的脅威（APT）から逃れられないことを如実に示しています。北朝鮮の攻撃者が進化する手法とあまり知られていないプログラミング言語を用いてこのプラットフォームを標的にしていることから、情報収集と警戒を怠らないことがこれまで以上に重要になっています。