Zhoumugu 首席情報セキュリティ責任者 23pds は 4 月 22 日に警告を発表し、北朝鮮のハッカー組織 Lazarus Group が新しいネイティブ macOS マルウェアのツールキット「Mach-O Man」を公開したと述べている。これは暗号通貨業界および高額な価値を持つ企業の幹部を対象にしている。

攻撃手法と標的

Mauro Eldritch の分析レポートによれば、今回の攻撃は ClickFix 手法を採用している。攻撃者は Telegram（侵害された連絡先アカウントを使用）経由で、正規の会議招待として偽装したリンクを送信し、被害者を Zoom、Microsoft Teams、または Google Meet のなりすまし偽サイトへ誘導する。そのうえで、ユーザーに macOS のターミナルでコマンドを実行し「接続問題を修復」するよう促す。この操作により、攻撃者は従来のセキュリティ制御を発動させることなくシステムへのアクセス権限を得る。

攻撃の標的となるデータには、ブラウザに保存された認証情報と Cookie、macOS Keychain のデータ、ならびに Brave、Vivaldi、Opera、Chrome、Firefox、Safari などのブラウザ拡張機能データが含まれる。窃取したデータは Telegram Bot API を通じて流出する。レポートでは、攻撃者が Telegram のボットトークン（OPSEC の失敗）を露出させており、行動の安全性が損なわれたことが指摘されている。

攻撃対象は主に、金融テクノロジーおよび暗号通貨業界、ならびに macOS が広く使用される高額な価値を持つ企業環境における開発者、幹部、意思決定者である。

Mach-O Man ツールキットの主な構成要素

Mauro Eldritch の技術分析によると、ツールキットは以下の主要モジュールで構成される。

teamsSDK.bin：初期投入器。Teams、Zoom、Google、またはシステムアプリケーションとして偽装し、基本的なシステム指紋認識を実行する

D1{ランダムな文字列}.bin：システム分析器。ホスト名、CPU タイプ、OS 情報、ならびにブラウザ拡張機能の一覧を収集し、それを C2 サーバーへ送信する

minst2.bin：永続化モジュール。偽装した「Antivirus Service」ディレクトリと LaunchAgent を作成し、毎回ログイン後に継続実行されるようにする

macrasv2：最終窃取器。ブラウザの認証情報、Cookie、macOS Keychain の項目を収集し、パッケージ化したうえで Telegram を通じて流出させ、さらに自己削除する

重要な侵害指標（IOC）要約

Mauro Eldritch が公開した IOC に基づく：

悪意のある IP：172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

悪意のあるドメイン：update-teams[.]live / livemicrosft[.]com

重要なファイル（部分）：teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin

C2 通信ポート：8888 と 9999；主に Go HTTP クライアントの User-Agent 特徴文字列を使用

完全なハッシュ値および ATT&CK マトリクスの詳細は、Mauro Eldritch の元の調査レポートを参照。

よくある質問

「Mach-O Man」ツールキットはどの業界や対象を狙う？

Mowmugu 23pds の警告および BCA LTD の調査によると、「Mach-O Man」は主に金融テクノロジーおよび暗号通貨業界、ならびに macOS が広く使用される高額な価値を持つ企業環境を対象とし、とりわけ開発者、幹部、意思決定者のグループを狙う。

攻撃者はどのように macOS ユーザーに悪意のあるコマンドを実行させる？

Mauro Eldritch の分析によれば、攻撃者は Telegram を通じて正規の会議招待として偽装したリンクを送信する。ユーザーを Zoom、Teams、または Google Meet のなりすまし偽サイトへ誘導し、macOS のターミナルでコマンドを実行して「接続問題を修復」するよう促すことで、悪意のあるソフトウェアのインストールを引き起こす。

「Mach-O Man」はどのようにデータ流出を実現する？

Mauro Eldritch の技術分析によると、最終モジュール macrasv2 はブラウザの認証情報、Cookie、macOS Keychain のデータを収集した後、それらをパッケージ化し、Telegram Bot API を通じて流出させる。同時に攻撃者は自己削除スクリプトを採用してシステムの痕跡を消去する。

免責事項：このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は免責事項をご参照ください。

ZachXBT、Bitcoin DepotのATMの44%超のビットコイン上乗せに警鐘

bitcoin news セキュリティインシデント取引所リスク

ZachXBTは、Bitcoin DepotのATMが高額なプレミアムを課していると警告しています――$25k フィアットが1BTCあたり$108kである一方、$75k 市場は約(44%ほど)で、0.232 BTCに対して約$7.5kの損失につながったとしています。さらに、$3.26Mのセキュリティ侵害も指摘しています。この記事は、Bitcoin Depotの価格設定の慣行と最近のセキュリティ侵害に関するZachXBTの警告を要約し、インフレートされたレートやセキュリティ上の不備がユーザーにもたらすリスクを強調しています。

GateNews6分前

プライバシー・プロトコルUmbraがフロントエンドを停止し、攻撃者による盗難Kelp資金のマネーロンダリングを阻止

地政学執行措置セキュリティインシデント

Gate Newsのメッセージ、4月22日 — プライバシー・プロトコルのUmbraは、最近の攻撃を受けて、攻撃者がプロトコルを使って盗まれた資金を移すのを防ぐために、フロントエンドのWebサイトを停止しました。これには、損失が$280 百万ドルを超える結果となったKelpプロトコルの侵害が含まれます。盗まれた資金のうち約$800,000がUmbraを通じて移されたものの、プロトコルが保護するのは受取人の身元であり、送信者ではありません。移されたすべての資金は識別可能なままです。

GateNews1時間前

Venus Protocol 攻撃者が 2301 枚の ETH を送金し、Tornado Cash に流入して洗浄

ethereum news 執行措置セキュリティインシデントオンチェーンデータ

チェーン上のアナリスト Ai おばさんによる4月22日の監視によると、Venus Protocol の攻撃者は11時間前にアドレス 0xa21…23A7f へ 2,301 ETH（約 532 万ドル）を送金し、その後資金を分割して暗号ミキサーの Tornado Cash に投入して洗浄を行いました。監視時点で、攻撃者はオンチェーン上に約 1,745 万ドル相当の ETH を保有しています。

MarketWhisper5時間前

CometBFT のゼロデイ脆弱性が明らかに：800億ドルの Cosmos ネットワークノードがデッドロックのリスクに直面

セキュリティインシデント

セキュリティ研究者のDoyeon Parkは、4月21日にCosmosのコンセンサス層であるCometBFTに、CVSS 7.1の重大なゼロデイ脆弱性が存在することを公開しました。これにより、ノードがブロック同期（BlockSync）段階で悪意のある対等（ピア）ノードから攻撃を受け、デッドロックに陥る可能性があり、80億ドル超の資産を保護するネットワークに影響します。

MarketWhisper5時間前

北朝鮮のラザルス・グループが、暗号資産を狙う新たなmacOSマルウェア「Mach-O Man」をリリース

執行措置セキュリティインシデント

概要：ラザルス・グループは、暗号資産プラットフォームや高価値の幹部を狙ったネイティブmacOSマルウェア・ツールキット「Mach-O Man」をリリースした。SlowMistは、攻撃に対する注意を促し、ユーザーに慎重な対応を求めている。要旨：この記事は、ラザルス・グループが暗号資産プラットフォームや高価値の幹部を狙ったmacOSネイティブのマルウェア・ツールキット「Mach-O Man」を公開したと報じている。SlowMistは、潜在的な攻撃を軽減するため、ユーザーに注意を呼びかけている。

GateNews5時間前

0/400

コメントなし