慢雾 23pds 警示：Lazarus Group 发布针对加密货币的全新 macOS 工具包

慢霧首席資訊安全長 23pds 於 4 月 22 日發布警示，稱北韓駭客組織 Lazarus Group 已發布全新原生 macOS 惡意軟體工具包「Mach-O Man」，專門針對加密貨幣行業及高價值企業高管。

攻擊手法與目標

根據 Mauro Eldritch 的分析報告，本次攻擊採用 ClickFix 手法：攻擊者通過 Telegram（使用已被入侵的聯絡人帳號）發送偽裝成合法會議邀請的連結，將目標引導至仿冒 Zoom、Microsoft Teams 或 Google Meet 的假網站，並提示用戶在 macOS 終端執行命令以「修復」連線問題。此操作使攻擊者在不觸發傳統安全控制措施的情況下獲得系統訪問權限。

攻擊目標資料包括：瀏覽器儲存的憑證和 Cookie、macOS Keychain 數據，以及 Brave、Vivaldi、Opera、Chrome、Firefox 和 Safari 等瀏覽器的擴充功能數據。竊取的資料通過 Telegram Bot API 外洩；報告指出攻擊者暴露了 Telegram 機器人令牌（OPSEC 失誤），削弱了其行動安全性。

攻擊對象主要為金融科技及加密貨幣行業，以及 macOS 被廣泛使用的高價值企業環境中的開發者、高管和決策者。

Mach-O Man 工具包主要組件

根據 Mauro Eldritch 的技術分析，工具包由以下主要模組構成：

teamsSDK.bin：初始植入器，偽裝為 Teams、Zoom、Google 或系統應用，執行基本系統指紋識別

D1{隨機字串}.bin：系統分析器，收集主機名稱、CPU 類型、操作系統信息及瀏覽器擴充功能列表並傳送至 C2 伺服器

minst2.bin：持久化模組，建立偽裝「Antivirus Service」目錄及 LaunchAgent，確保每次登入後持續執行

macrasv2：最終竊取器，收集瀏覽器憑證、Cookie 及 macOS Keychain 條目，打包後通過 Telegram 外洩並自我刪除

關鍵入侵指標（IOC）摘要

根據 Mauro Eldritch 報告發布的 IOC：

惡意 IP：172[.]86[.]113[.]102 / 144[.]172[.]114[.]220

惡意域名：update-teams[.]live / livemicrosft[.]com

關鍵文件（部分）： teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin

C2 通訊端口： 8888 及 9999；主要使用 Go HTTP 用戶端 User-Agent 特徵字符串

完整哈希值及 ATT&CK 矩陣詳見 Mauro Eldritch 原始研究報告。

常見問題

「Mach-O Man」工具包針對哪些行業和目標？

根據慢霧 23pds 的警示及 BCA LTD 的研究，「Mach-O Man」主要針對金融科技和加密貨幣行業，以及 macOS 廣泛使用的高價值企業環境，特別是開發者、高管和決策者群體。

攻擊者如何誘導 macOS 用戶執行惡意命令？

根據 Mauro Eldritch 的分析，攻擊者通過 Telegram 發送偽裝成合法會議邀請的連結，將用戶引導至仿冒 Zoom、Teams 或 Google Meet 的假網站，提示用戶在 macOS 終端執行命令以「修復」連線問題，從而觸發惡意軟體安裝。

「Mach-O Man」如何實現數據外洩？

根據 Mauro Eldritch 的技術分析，最終模組 macrasv2 收集瀏覽器憑證、Cookie 及 macOS Keychain 數據後打包，通過 Telegram Bot API 外洩；同時攻擊者採用自我刪除腳本清除系統痕跡。