NimDoorは、macOS環境向けの新しいマルウェアファミリーです。
このマルウェアの実装は特徴的な部分を含んだ内容になっています。
- 2つの実行チェーン
始まりは以前からよく見られるフィッシングメールからのものとなっています。
メールにはZoomミーティングのリンクと、いわゆる「Zoom SDKアップデートスクリプト」を実行するための指示が記載されています。
これに従って操作すると、感染が開始されるというものです。
特徴的な部分の一つは、この次の段階です。
トリガーされたマルウェアの動作は通常この後感染活動を開始することとなるのですが、その実行の流れが独立したものが2系統並行で進められる形式になっています。
「GoogIe LLC」というものと「CoreKitAgent」というものです。 - GoogIe LLC
GoogIe LLCの一つ目の単語の部分はGoogleではありません。
5文字目の部分が小文字のエルではなく、大文字のアイになっています。
なので、グーグルLLCでなく、グーギーLLCです。
GoogIe LLCは環境データの収集と16進数エンコードされた設定ファイルの生成を担い、一時パスに書き込みます。
そして、永続化を実現します。 - CoreKitAgent
これはイベント駆動型バイナリとして動作し、macOSのkqueueメカニズムを使用して非同期的に実行を管理します。
ハードコードされた状態遷移テーブルを備えた10ケースのステート マシンを実装し、実行時の条件に基づいて柔軟な制御フローを可能にします。
このモジュールの永続化の方法は変わった内容になっています。 - SIGINTとSIGTERM
SIGINTとSIGTERMは、通常は どちらもこれを受け取ったプロセスが終了することが想定されているシグナルです。
CoreKitAgentは、動作時にこれらのシグナルを受信した際の動きを変更するためのカスタムシグナルハンドラを登録します。
変更後にCoreKitAgentがSIGINTもしくはSIGTERMを受信すると、どうなるのでしょうか。
GoogIe LLCとCoreKitAgentの両方を再度インストールする動作を行うのです。
終了させようとしたら再インストールされる、というわけです。
この動きによって、このマルウェアは防御行動への耐性が高い状態に仕上がっています。
活動を開始したNimDoorはバックドアを仕掛け、情報を収集し、収集した情報を持ち出します。
展開されてしまったNimDoorは環境に複雑にモジュールをまき散らします。
このマルウェアに限った話ではないですが、フィッシングメールには注意したいですね。
macOS NimDoor | DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware
https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/
| この記事をシェア |
|
|---|
