C
月内に
北朝鮮に関連する攻撃グループ「Sapphire Sleet」が、macOSユーザーを標的にしたサイバー攻撃を展開しています
📌 一言でいうと
北朝鮮に関連する攻撃グループ「Sapphire Sleet」が、macOSユーザーを標的にしたサイバー攻撃を展開しています。攻撃者はLinkedInなどで偽の採用担当者を装い、偽のZoomアップデートファイル(.scpt)を配布してパスワードや仮想通貨情報を窃取しようとします。このスクリプトは正常な更新案内を装い、内部に悪意のあるコマンドを隠蔽して追加のマルウェアをダウンロードさせる巧妙な手法を用いています。
🏢影響範囲
金融・仮想通貨業界に従事するmacOSユーザー、および関連組織
✅該当時の対応
不審な人物からの採用提案やファイル送付に注意し、信頼できないソースからのスクリプトファイル(.scpt)を実行しないこと。OSおよびアプリケーションを最新の状態に保ち、多要素認証(MFA)を導入することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審な採用連絡および偽のアップデートファイルにご注意ください
お疲れさまです。情報システム担当です。
現在、LinkedInなどのSNSで偽の採用担当者を装い、macOSユーザーを標的にした巧妙な攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない人物からの突然の採用提案や、面接を装ったファイル送付に十分ご注意ください。
2. 「Zoom SDK Update.scpt」など、心当たりのないスクリプトファイルや更新ファイルを絶対に開かないでください。
3. 不審な連絡を受けた場合は、ファイルを開かず、速やかに情報システム部門へ報告してください。
被害防止のため、お早めにご注意いただけますようお願いいたします。
お疲れさまです。情報システム担当です。
現在、LinkedInなどのSNSで偽の採用担当者を装い、macOSユーザーを標的にした巧妙な攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない人物からの突然の採用提案や、面接を装ったファイル送付に十分ご注意ください。
2. 「Zoom SDK Update.scpt」など、心当たりのないスクリプトファイルや更新ファイルを絶対に開かないでください。
3. 不審な連絡を受けた場合は、ファイルを開かず、速やかに情報システム部門へ報告してください。
被害防止のため、お早めにご注意いただけますようお願いいたします。
Subject: [Security Notice] Beware of Fake Job Offers and Malicious Update Files
Hi everyone,
Our security team has identified a targeted attack against macOS users where attackers pose as recruiters on platforms like LinkedIn to deliver malware.
How you can help:
1. Be cautious of unsolicited job offers or interview requests from unknown individuals on social media.
2. Never open suspicious script files or update files, such as "Zoom SDK Update.scpt," sent by unknown sources.
3. If you receive a suspicious message or file, please do not open it and report it to the IT security team immediately.
Please stay vigilant and prioritize these precautions.
Hi everyone,
Our security team has identified a targeted attack against macOS users where attackers pose as recruiters on platforms like LinkedIn to deliver malware.
How you can help:
1. Be cautious of unsolicited job offers or interview requests from unknown individuals on social media.
2. Never open suspicious script files or update files, such as "Zoom SDK Update.scpt," sent by unknown sources.
3. If you receive a suspicious message or file, please do not open it and report it to the IT security team immediately.
Please stay vigilant and prioritize these precautions.
件名: 【共有】Sapphire SleetによるmacOS標的型攻撃(偽Zoomアップデート)について
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
北朝鮮系攻撃グループ「Sapphire Sleet」が、LinkedIn等のSNSで偽の採用担当者を装い、macOSユーザーを標的にした攻撃を展開しています。攻撃者は「Zoom SDK Update.scpt」というAppleScriptファイルを配布し、実行させることで、仮想通貨ウォレット情報、ブラウザ履歴、キーチェーンの資格情報、Apple Note等の機密情報を窃取します。
■ 影響範囲
- macOSを利用している全ユーザー(特に金融・仮想通貨関連業務に従事するユーザー)
■ 対応手順
1. ユーザーに対し、不審な.scptファイルの実行禁止およびSNS経由のファイル受信への注意喚起を実施してください。
2. EDR等のエンドポイントセキュリティ製品にて、不審なAppleScriptの実行や外部への不自然な通信がないか監視を強化してください。
3. OSおよび主要アプリケーションを最新バージョンに更新し、多要素認証(MFA)の適用を徹底してください。
■ 参考情報
- Microsoft Threat Intelligence / dailysecu
対応優先度: 高(速やかな注意喚起と監視の強化を推奨)
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
北朝鮮系攻撃グループ「Sapphire Sleet」が、LinkedIn等のSNSで偽の採用担当者を装い、macOSユーザーを標的にした攻撃を展開しています。攻撃者は「Zoom SDK Update.scpt」というAppleScriptファイルを配布し、実行させることで、仮想通貨ウォレット情報、ブラウザ履歴、キーチェーンの資格情報、Apple Note等の機密情報を窃取します。
■ 影響範囲
- macOSを利用している全ユーザー(特に金融・仮想通貨関連業務に従事するユーザー)
■ 対応手順
1. ユーザーに対し、不審な.scptファイルの実行禁止およびSNS経由のファイル受信への注意喚起を実施してください。
2. EDR等のエンドポイントセキュリティ製品にて、不審なAppleScriptの実行や外部への不自然な通信がないか監視を強化してください。
3. OSおよび主要アプリケーションを最新バージョンに更新し、多要素認証(MFA)の適用を徹底してください。
■ 参考情報
- Microsoft Threat Intelligence / dailysecu
対応優先度: 高(速やかな注意喚起と監視の強化を推奨)
Subject: [Security Advisory] macOS Targeted Attack by Sapphire Sleet (Fake Zoom Update)
Hi,
This is a security advisory regarding a targeted campaign by the North Korean-linked threat actor "Sapphire Sleet."
■ Overview
Attackers are using social engineering via LinkedIn to target macOS users. They distribute a malicious AppleScript file named "Zoom SDK Update.scpt" disguised as a legitimate update. Once executed, the script downloads additional malware to steal cryptocurrency wallet data, browser history, keychain credentials, and Apple Notes.
■ Scope
- All macOS users (particularly those in finance or cryptocurrency sectors).
■ Recommended Actions
1. Issue a security alert to users warning against executing unknown .scpt files and receiving files from unknown sources via SNS.
2. Enhance monitoring via EDR/XDR for suspicious AppleScript execution and anomalous outbound network traffic.
3. Ensure all OS and applications are up to date and enforce Multi-Factor Authentication (MFA) across the organization.
■ Reference
- Microsoft Threat Intelligence / dailysecu
Priority: High (Prompt awareness and monitoring enhancement recommended)
Hi,
This is a security advisory regarding a targeted campaign by the North Korean-linked threat actor "Sapphire Sleet."
■ Overview
Attackers are using social engineering via LinkedIn to target macOS users. They distribute a malicious AppleScript file named "Zoom SDK Update.scpt" disguised as a legitimate update. Once executed, the script downloads additional malware to steal cryptocurrency wallet data, browser history, keychain credentials, and Apple Notes.
■ Scope
- All macOS users (particularly those in finance or cryptocurrency sectors).
■ Recommended Actions
1. Issue a security alert to users warning against executing unknown .scpt files and receiving files from unknown sources via SNS.
2. Enhance monitoring via EDR/XDR for suspicious AppleScript execution and anomalous outbound network traffic.
3. Ensure all OS and applications are up to date and enforce Multi-Factor Authentication (MFA) across the organization.
■ Reference
- Microsoft Threat Intelligence / dailysecu
Priority: High (Prompt awareness and monitoring enhancement recommended)