Zhoumugu 首席情報セキュリティ責任者 23pds は 4 月 22 日に警告を発表し、北朝鮮のハッカー組織 Lazarus Group が新しいネイティブ macOS マルウェアのツールキット「Mach-O Man」を公開したと述べている。これは暗号通貨業界および高額な価値を持つ企業の幹部を対象にしている。

攻撃手法と標的

Mauro Eldritch の分析レポートによれば、今回の攻撃は ClickFix 手法を採用している。攻撃者は Telegram（侵害された連絡先アカウントを使用）経由で、正規の会議招待として偽装したリンクを送信し、被害者を Zoom、Microsoft Teams、または Google Meet のなりすまし偽サイトへ誘導する。そのうえで、ユーザーに macOS のターミナルでコマンドを実行し「接続問題を修復」するよう促す。この操作により、攻撃者は従来のセキュリティ制御を発動させることなくシステムへのアクセス権限を得る。

攻撃の標的となるデータには、ブラウザに保存された認証情報と Cookie、macOS Keychain のデータ、ならびに Brave、Vivaldi、Opera、Chrome、Firefox、Safari などのブラウザ拡張機能データが含まれる。窃取したデータは Telegram Bot API を通じて流出する。レポートでは、攻撃者が Telegram のボットトークン（OPSEC の失敗）を露出させており、行動の安全性が損なわれたことが指摘されている。

攻撃対象は主に、金融テクノロジーおよび暗号通貨業界、ならびに macOS が広く使用される高額な価値を持つ企業環境における開発者、幹部、意思決定者である。

Mach-O Man ツールキットの主な構成要素

Mauro Eldritch の技術分析によると、ツールキットは以下の主要モジュールで構成される。

teamsSDK.bin：初期投入器。Teams、Zoom、Google、またはシステムアプリケーションとして偽装し、基本的なシステム指紋認識を実行する

D1{ランダムな文字列}.bin：システム分析器。ホスト名、CPU タイプ、OS 情報、ならびにブラウザ拡張機能の一覧を収集し、それを C2 サーバーへ送信する

minst2.bin：永続化モジュール。偽装した「Antivirus Service」ディレクトリと LaunchAgent を作成し、毎回ログイン後に継続実行されるようにする

macrasv2：最終窃取器。ブラウザの認証情報、Cookie、macOS Keychain の項目を収集し、パッケージ化したうえで Telegram を通じて流出させ、さらに自己削除する

重要な侵害指標（IOC）要約

Mauro Eldritch が公開した IOC に基づく：

悪意のある IP：172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

悪意のあるドメイン：update-teams[.]live / livemicrosft[.]com

重要なファイル（部分）：teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin

C2 通信ポート：8888 と 9999；主に Go HTTP クライアントの User-Agent 特徴文字列を使用

完全なハッシュ値および ATT&CK マトリクスの詳細は、Mauro Eldritch の元の調査レポートを参照。

よくある質問

「Mach-O Man」ツールキットはどの業界や対象を狙う？

Mowmugu 23pds の警告および BCA LTD の調査によると、「Mach-O Man」は主に金融テクノロジーおよび暗号通貨業界、ならびに macOS が広く使用される高額な価値を持つ企業環境を対象とし、とりわけ開発者、幹部、意思決定者のグループを狙う。

攻撃者はどのように macOS ユーザーに悪意のあるコマンドを実行させる？

Mauro Eldritch の分析によれば、攻撃者は Telegram を通じて正規の会議招待として偽装したリンクを送信する。ユーザーを Zoom、Teams、または Google Meet のなりすまし偽サイトへ誘導し、macOS のターミナルでコマンドを実行して「接続問題を修復」するよう促すことで、悪意のあるソフトウェアのインストールを引き起こす。

「Mach-O Man」はどのようにデータ流出を実現する？

Mauro Eldritch の技術分析によると、最終モジュール macrasv2 はブラウザの認証情報、Cookie、macOS Keychain のデータを収集した後、それらをパッケージ化し、Telegram Bot API を通じて流出させる。同時に攻撃者は自己削除スクリプトを採用してシステムの痕跡を消去する。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

ライトコイン、MWEBプライバシー・レイヤーのエクスプロイトを無効化するため深いチェーン再編へ

執行措置セキュリティインシデントオンチェーンデータ

Gate Newsメッセージ、4月26日 — ライトコインは土曜日、攻撃者がMimbleWimble Extension Block (MWEB)のプライバシー・レイヤーにおけるゼロデイ脆弱性を悪用した後、(reorg)による深いチェーンの再編を経験しました。

GateNews42分前

Apecoin Insider Turns $174K Into $2.45M in One Day With 14x Trade on Both Sides of 80% Surge

価格ボラティリティ執行措置セキュリティインシデント

取引履歴のない匿名ウォレットが、たった1日のうちに価格が80%急騰した局面でApecoinを両建て（両側）でトレードし、イーサ（ETH）174,000ドル相当を245万ドルへ変えました。重要なポイント：ウォレット0x0b8aは、ETH174,000ドルをレバレッジをかけたApecoinのロングに変え、最高値近辺で利確して、179万ドルの利益を得ました

Coinpedia1時間前

香港警察、海外留学生を標的にした越境詐欺組織を摘発、資産のHK$5M を押収

執行措置セキュリティインシデント

Gate Newsのメッセージ、4月26日——香港警察は、現地メディアによると、海外で留学している華僑・華人の学生を狙った越境詐欺グループを摘発し、解体した。その組織は法執行機関を装い、被害者を香港へ連れて行って金地金を購入させ、 "c

GateNews1時間前

ライトコインのリオーグがMWEBプライバシーレイヤーのエクスプロイトを無効化

執行措置セキュリティインシデントオンチェーンデータ

Litecoinは、Litecoin Foundationによれば、攻撃者がそのMimbleWimble Extension Block (MWEB)プライバシーレイヤーにおけるゼロデイ脆弱性を悪用した後、土曜日に深いチェーン再編を経験しました。このインシデントにより、3時間の再編が発生し、不正な取引が消去されました。

CryptoFrontier7時間前

北朝鮮のIT担当者「Laptop Farm（ラップトップ・ファーム）」詐欺：米国の共犯者に7〜9年の実刑、2年間で累計28億ドルを詐取

地政学執行措置セキュリティインシデント

Fortune 報道：北朝鮮は米国内のノートパソコン・ファームを通じて資金を得ており、2年間で累計約28億ドルの収益で核兵器を支援している。年あたりの貢ぎは2.5〜6億ドル。米国籍の容疑者 Kejia Wang と Zhenxing Wang はそれぞれ禁錮7.5年、9年を言い渡され、百社以上の企業と80名の身分が盗用された。北朝鮮は米国の身分と固定装置を用いて米国で運用し、資金は主に暗号資産を通じた両替により処理されている。専門家は、国内に共犯ネットワークが依然として存在すると警告しており、企業は身元の認証、住所の追跡、タイムゾーン/IP の分析を強化する必要がある。

ChainNewsAbmedia10時間前

香港警察、暗号資産詐欺の急増に警告；2人の女性が最近の数週間で$1.24Mを損失

執行措置セキュリティインシデント

Gate News メッセージ、4月25日――香港の2人の女性が、ここ最近の数週間で暗号資産詐欺師に合計HK$9.7 million (US$1.24 million)をだまし取られ、地元警察が一般向けの注意喚起を出すことになった。香港警察は、1週間で80件超の詐欺事案を報告しており、総損失はHK$80 million (U

GateNews10時間前

0/400

コメントなし