C
月内に
北朝鮮のハッカー集団が、金融機関のmacOSユーザーを標的にした攻撃を展開しています
📌 一言でいうと
北朝鮮のハッカー集団が、金融機関のmacOSユーザーを標的にした攻撃を展開しています。Telegramを通じて偽の会議招待を送り、ClickFix手法を用いてユーザーにターミナルでコマンドを実行させ、「Mach-O Man」と呼ばれる情報窃取マルウェアをインストールさせます。この攻撃ではAppleScriptも利用されており、認証情報やKeychainの内容、ブラウザセッションなどの機密データが窃取され、Telegram経由で外部へ送信されます。
🏢影響範囲
金融機関のビジネスリーダーおよびmacOSユーザー
✅該当時の対応
不審な送信元からの会議招待やリンクを避け、ターミナルで未知のコマンドを実行しないよう従業員に教育すること。また、エンドポイント保護製品を導入し、不審なAppleScriptやバイナリの実行を監視することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審な会議招待およびターミナル操作に関するお願い
お疲れさまです。情報システム担当です。
現在、macOSユーザーを標的に、偽の会議招待(ZoomやTeams等)を通じてウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いからの連絡であっても、不自然な会議招待やリンクには注意し、安易にクリックしないでください。
2. ブラウザ上で「接続エラーを修正してください」等の指示が出ても、指示通りにコマンドをコピーして「ターミナル」で実行しないでください。
不審な点に気づいた場合は、すぐに情報システム担当までご連絡ください。速やかなご確認をお願いいたします。
お疲れさまです。情報システム担当です。
現在、macOSユーザーを標的に、偽の会議招待(ZoomやTeams等)を通じてウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いからの連絡であっても、不自然な会議招待やリンクには注意し、安易にクリックしないでください。
2. ブラウザ上で「接続エラーを修正してください」等の指示が出ても、指示通りにコマンドをコピーして「ターミナル」で実行しないでください。
不審な点に気づいた場合は、すぐに情報システム担当までご連絡ください。速やかなご確認をお願いいたします。
Subject: [Security Notice] Warning Regarding Suspicious Meeting Invitations and Terminal Commands
Hi everyone,
Our security team has identified a current threat targeting macOS users. Attackers are using fake meeting invitations (mimicking Zoom, Teams, or Google Meet) to trick users into installing malware.
Please follow these precautions:
1. Be cautious of unexpected meeting invitations or links, even if they appear to come from known contacts.
2. Never copy and paste commands into the "Terminal" app if prompted by a website to "fix" a connection issue.
If you encounter any suspicious activity, please report it to the IT department immediately. We appreciate your prompt attention to this matter.
Hi everyone,
Our security team has identified a current threat targeting macOS users. Attackers are using fake meeting invitations (mimicking Zoom, Teams, or Google Meet) to trick users into installing malware.
Please follow these precautions:
1. Be cautious of unexpected meeting invitations or links, even if they appear to come from known contacts.
2. Never copy and paste commands into the "Terminal" app if prompted by a website to "fix" a connection issue.
If you encounter any suspicious activity, please report it to the IT department immediately. We appreciate your prompt attention to this matter.
件名: 【共有】macOSを標的としたSapphire Sleetによる情報窃取攻撃について
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
北朝鮮の脅威アクター「Sapphire Sleet」らが、ClickFix手法やAppleScriptを用いてmacOSユーザーを標的にした攻撃を展開しています。偽の会議招待から誘導先のサイトでターミナルコマンドを実行させ、「Mach-O Man」マルウェアを感染させ、Keychainやブラウザセッション等の機密情報を窃取しTelegram経由で外部送信します。
■ 影響範囲
- macOSを利用している全ユーザー(特に金融関連のビジネスリーダー等)
■ 対応手順
1. EDR等のエンドポイント保護製品において、不審なAppleScriptの実行や、未知のMach-Oバイナリの挙動を監視してください。
2. ユーザーに対し、ブラウザ経由でターミナルコマンドを実行させる手法(ClickFix)への注意喚起を徹底してください。
3. Telegram等の不審な外部通信が発生していないか、ネットワークログを確認してください。
■ 参考情報
- SecurityWeek: North Korean Hackers Use AppleScript, ClickFix in Fresh macOS Attacks
対応優先度: 高(速やかな監視体制の確認を推奨)
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
北朝鮮の脅威アクター「Sapphire Sleet」らが、ClickFix手法やAppleScriptを用いてmacOSユーザーを標的にした攻撃を展開しています。偽の会議招待から誘導先のサイトでターミナルコマンドを実行させ、「Mach-O Man」マルウェアを感染させ、Keychainやブラウザセッション等の機密情報を窃取しTelegram経由で外部送信します。
■ 影響範囲
- macOSを利用している全ユーザー(特に金融関連のビジネスリーダー等)
■ 対応手順
1. EDR等のエンドポイント保護製品において、不審なAppleScriptの実行や、未知のMach-Oバイナリの挙動を監視してください。
2. ユーザーに対し、ブラウザ経由でターミナルコマンドを実行させる手法(ClickFix)への注意喚起を徹底してください。
3. Telegram等の不審な外部通信が発生していないか、ネットワークログを確認してください。
■ 参考情報
- SecurityWeek: North Korean Hackers Use AppleScript, ClickFix in Fresh macOS Attacks
対応優先度: 高(速やかな監視体制の確認を推奨)
Subject: [FYI] Information Stealing Campaign Targeting macOS by Sapphire Sleet
Hi,
This is a security advisory regarding a recent campaign targeting macOS users.
■ Overview
Threat actors, including "Sapphire Sleet," are utilizing the "ClickFix" technique and AppleScript to deploy the "Mach-O Man" malware. The attack begins with social engineering via Telegram (fake meeting invites), leading victims to execute malicious commands in the Terminal. The malware is designed to exfiltrate credentials, Keychain entries, and browser sessions via Telegram.
■ Scope
- All macOS users (particularly those in financial organizations/leadership roles)
■ Recommended Actions
1. Configure EDR/endpoint security tools to monitor for suspicious AppleScript execution and unauthorized Mach-O binaries.
2. Conduct security awareness training focusing on the "ClickFix" method (preventing users from executing Terminal commands via browser prompts).
3. Review network logs for anomalous traffic to Telegram API endpoints.
■ Reference
- SecurityWeek: North Korean Hackers Use AppleScript, ClickFix in Fresh macOS Attacks
Priority: High (Prompt review of monitoring and controls is recommended)
Hi,
This is a security advisory regarding a recent campaign targeting macOS users.
■ Overview
Threat actors, including "Sapphire Sleet," are utilizing the "ClickFix" technique and AppleScript to deploy the "Mach-O Man" malware. The attack begins with social engineering via Telegram (fake meeting invites), leading victims to execute malicious commands in the Terminal. The malware is designed to exfiltrate credentials, Keychain entries, and browser sessions via Telegram.
■ Scope
- All macOS users (particularly those in financial organizations/leadership roles)
■ Recommended Actions
1. Configure EDR/endpoint security tools to monitor for suspicious AppleScript execution and unauthorized Mach-O binaries.
2. Conduct security awareness training focusing on the "ClickFix" method (preventing users from executing Terminal commands via browser prompts).
3. Review network logs for anomalous traffic to Telegram API endpoints.
■ Reference
- SecurityWeek: North Korean Hackers Use AppleScript, ClickFix in Fresh macOS Attacks
Priority: High (Prompt review of monitoring and controls is recommended)