北朝鮮のラザルス・グループによる新しいmacOSマルウェアキャンペーンは、日常的なビジネス電話を、暗号資産やフィンテック企業から数百万ドルを盗み出すための入り口へと変貌させています。
戻る
戻る
ラザルス・グループ、5億ドルの窃取後に新たなMac向けマルウェアを配備
北朝鮮の国家支援を受けるハッカー集団「ラザルス・グループ(Lazarus Group)」は、暗号資産およびフィンテック分野のエグゼクティブを標的とした「Mach-O Man」と呼ばれるmacOS向けの新しい多段階マルウェアを配備しています。2026年4月中旬に特定されたこのキャンペーンは、先月だけで5億ドル以上の暗号資産窃取に関与したとされる同グループと既に関連付けられています。
「現在、ラザルスを特に危険な存在にしているのは、その活動レベルの高さです」と、CertiKのシニア・ブロックチェーン・セキュリティ・リサーチャーであるナタリー・ニューソン氏はCoinDeskに語りました。「これは無差別なハッキングではありません。金融機関に匹敵する規模とスピードで展開される、国家主導の財務オペレーションなのです。」
この攻撃は「ClickFix」と呼ばれるソーシャルエンジニアリングの手法を用い、Telegram上で被害者を偽のZoomやGoogle Meetの会議に誘い込みます。その後、不正なエラーメッセージが表示され、ユーザーにMacのターミナルへコマンドを貼り付けるよう促します。これにより、OS標準のセキュリティ制御をバイパスしてマルウェアがインストールされます。最終的なペイロードであるMacrasv2は、Telegramボットを介してブラウザのデータ、クッキー、およびmacOSの機密性の高いキーチェーン(Keychain)エントリーを抽出します。
このキャンペーンは、開発者やエグゼクティブの認証情報が侵害されると壊滅的な損失につながる暗号資産プロジェクトにとって、運用上のセキュリティリスクを著しく高めています。最近のKelpDAOにおける2億9,200万ドル、Driftにおける2億8,500万ドルの悪用事例がその証拠です。このマルウェアのモジュール式の性質や、他のサイバー犯罪グループによる利用は、その脅威がさらに拡大する可能性を示唆しており、企業は自社従業員の信頼に基づく行動から発生する攻撃に対して防御を固める必要に迫られています。
「Mach-O Man」攻撃がmacOSのセキュリティをバイパスする仕組み
Mach-O Manキャンペーンの主な革新性は、Appleの組み込みセキュリティ機能を回避するためにソーシャルエンジニアリングに依存している点にあります。攻撃は、標的がTelegramなどのプラットフォーム上で、信頼できる同僚を装った人物からZoom、Microsoft Teams、またはGoogle Meetでの緊急の会議招待を受け取ることから始まります。
リンク先は、接続の問題をシミュレートした、説得力のある偽のウェブページです。問題を「解決」するために、サイトはユーザーにコードをコピーしてMacのターミナルアプリケーションに貼り付けるよう指示します。ユーザー自身がコマンドを実行するため、通常は未検証のアプリケーションをブロックする「Gatekeeper」などのmacOSセキュリティ機能がバイパスされます。
実行されると、コマンドはteamsSDK.binという初期バイナリをダウンロードします。その後、マルウェアは偽のアプリバンドルをダウンロードし、不自然な翻訳ながらも本物に見えるシステムプロンプトを繰り返し表示して被害者にパスワードを要求し、必要な権限を確実に取得します。
痕跡をほとんど残さない自己消去型の泥棒
マルウェアは4つの異なる段階で動作します。初期感染後、プロファイラーモジュールがホスト名、CPUの詳細、ネットワーク構成などのシステム情報を収集し、攻撃者のコマンド&コントロール(C2)サーバーに被害者を登録します。
次に、minst2.binという永続化モジュールが、再起動後もマルウェアが生存するように機能します。これは、正規の「OneDrive」や「Antivirus Service」プロセスを装い、ログインのたびにマルウェアを再起動させるLaunchAgentのplistファイルcom.onedrive.launcher.plistを配置します。
最終段階は窃取プログラムそのものであり、Macrasv2として特定されたペイロードです。このコンポーネントは、Chrome、Firefox、Safari、Braveなどのブラウザ拡張機能からデータを抽出するように設計されています。保存された認証情報、SQLiteデータベースのクッキー、macOSキーチェーンの機密エントリーを標的にします。収集されたデータは圧縮され、TelegramボットのAPIを使用して外部に送信された後、マルウェアはシステムから自身の痕跡の大部分を削除します。
ハッカーがハッキングされる
注目すべき展開として、攻撃者自身の運用セキュリティが不十分であることが判明しました。脅威インテリジェンス企業BCA Ltd.の創設者であるマウロ・エルドリッチ氏は、ラザルス・グループのC2インフラに2つの重大な脆弱性を発見しました。
エルドリッチ氏の報告によると、マルウェアのコードにはデータ抽出に使用されるTelegramボットのAPIトークンが公開されていました。このキーにより、研究者はボットの所有者を特定し、スパムでチャネルを妨害することが可能になりました。さらに、C2サーバーには無制限のファイルアップロードを許す欠陥があり、研究者が攻撃者のインフラにジャンクデータを大量に送り込み、効果的に停止させることができました。これはハッカーにとって一時的な後退となりましたが、Mach-O Manマルウェアキットは依然として活発で進化し続ける脅威であり続けています。
本記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。