TodoSwift Mac マルウェア

サイバーセキュリティ研究者は、北朝鮮のハッキンググループに関連する既知のマルウェアと特徴を共有する、TodoSwiftと呼ばれるmacOSマルウェアの新種を発見した。

このアプリケーションは、以前北朝鮮（DPRK）に起因するとされていたマルウェア、特にKANDYKORNやRustBuckeなどのマルウェアに関連するBlueNoroff脅威グループと類似した動作をいくつか示しています。2023年7月に初めて報告されたRustBucketは、コマンドアンドコントロール（C2）サーバーから追加のペイロードを取得するように設計されたAppleScriptベースのバックドアです。

北朝鮮関連のマルウェアの脅威

昨年末、研究者らはKANDYKORNと呼ばれる別のmacOSマルウェアを発見した。これは、名前が明らかにされていない暗号通貨取引所のブロックチェーンエンジニアを標的としたサイバー攻撃に使用された。

KANDYKORN は、複雑な多段階の感染チェーンを通じて配信され、被害者のコンピューターにアクセスしてデータを盗み出す機能を備えています。さらに、任意のプロセスを終了し、ホスト システム上でコマンドを実行することもできます。

2 つのマルウェア ファミリの主な類似点は、コマンド アンド コントロール (C2) 操作に linkpc.net ドメインを使用していることです。RustBucket と KANDYKORN はどちらも、BlueNoroff として知られるサブ クラスターを含むLazarus Groupによるものだと考えられています。

北朝鮮は、ラザルス・グループなどのグループを通じて、自国の経済成長と野心を制限する国際制裁を回避するために暗号通貨を収集することを目的として、暗号通貨業界の企業を標的にし続けている。

TodoSwift 攻撃チェーン

TodoSwift 攻撃では、脅威アクターはパブリック チャット サーバー上でブロックチェーン エンジニアをターゲットにし、彼らのスキルや興味に合わせた誘い文句で金銭的報酬を約束しました。

最近の調査結果から、TodoSwift はドロッパー コンポーネントを含む TodoTasks という署名付きファイルとして配布されていることが明らかになりました。このコンポーネントは SwiftUI で構築された GUI アプリケーションで、武器化された PDF ドキュメントを被害者に提示しながら、第 2 段階のバイナリを密かにダウンロードして実行するように設計されています。この手法は RustBucket でも使用されています。

PDF ルアーは Google ドライブにホストされている無害なビットコイン関連の文書ですが、脅迫的なペイロードは攻撃者が管理するドメイン「buy2x.com」から取得されます。このペイロードは、システム情報を収集し、追加のマルウェアを展開するように作成されています。

インストールされると、マルウェアはOSバージョンやハードウェアモデルなどのデバイスに関する詳細情報を収集し、API経由でコマンドアンドコントロール（C2）サーバーと通信し、デバイス上の実行ファイルにデータを書き込むことができます。ルアーとしてGoogleドライブのURLを使用し、第2段階のバイナリへの起動引数としてC2 URLを渡す方法は、macOSシステムを標的とした以前のDPRKマルウェアで見られた戦術と一致しています。

TodoSwift Mac マルウェアビデオ

ヒント：サウンドをオンにして、フルスクリーンモードでビデオを視聴します。