セキュリティ研究者らは、macOSシステムを標的とする悪名高いマルウェア「RustBucket」の亜種と思われるものの正体を暴露しました。4月初旬に初めて検出されたこの攻撃について、Jamf Threat Labsの新たなレポートは、この攻撃がどのように進化を続け、潜在的な標的が誰なのかを浮き彫りにしています。

RustBucketは、Macユーザーを特に標的とする比較的新しいタイプのマルウェアです。これは、北朝鮮の著名なサイバー犯罪組織Lazarus Groupの傘下組織である、北朝鮮を拠点とするAPT（Advanced Persistent Threat）グループ「BlueNoroff」によるものです。

火曜日、Jamf Threat LabsのAppleセキュリティ専門家は、BlueNoroffのObjCShellzとして追跡されている、RustBucketと密接に一致する、後期段階のmacOSマルウェアの新たな亜種と思われる詳細を明らかにしました。「後期段階」とは、最初の感染が発生した後を指し、多くの場合、データの窃取、永続性の確立、またはネットワーク内での横方向の移動が含まれます。

Jamfによると、BlueNoroffは投資家や企業のヘッドハンターを装って潜在的な被害者に接触することが多い。また、脅威アクターがネットワーク活動に紛れ込むために、正規の暗号通貨企業に属するように見えるドメインを作成することも珍しくない。

ObjCShellz (RustBucket のような亜種) の発見は、Jamf の研究者が、以前は悪意があると分類されていたドメインと通信している macOS ユニバーサル バイナリを発見した後に行われました。

「この実行ファイルは、当社の分析時点ではVirusTotalでは検出されておらず、興味をそそられました」とJamfは述べています。

RustBucketは、フィッシングメール、悪意のあるウェブサイト、ドライブバイダウンロードなど、様々な手法を用いて標的を攻撃します。感染すると、コマンド＆コントロール（C2）サーバーと通信し、様々なペイロードをダウンロードして実行します。しかし、最も厄介なのは、VirusTotalなどのウイルス対策スキャナーを完全に検知されずに通過する能力です。

そして、それがこの新しい変異体が引き起こしたことです。

Jamfの研究者は、新たな亜種のC2サーバとの通信を試みるため、最初の悪意あるドメインからDNSピボットを実行し、通信に使用されているURLをさらにいくつか発見しました。しかし、最終的には失敗し、C2サーバは直後にオフラインになりました。

「過去数か月間、Jamf Threat Labs は、被害者からデジタル資産を盗むために、このとらえどころのない Advanced Persistent Threat の攻撃者が組織したさまざまなマルウェア キャンペーンを発見しました」と、Jamf Threat Labs のディレクター、Jaron Bradley 氏は 9to5Macに語った。

「当社の最新調査では、BlueNoroffが侵入したシステムに秘密裏に通信チャネルを確立するために使用している、これまで報告されていないマルウェアが明らかになりました。このステルス性の高いプログラムにより、攻撃者は被害者がコンピュータを使い続けている間もデータの送受信が可能になり、検知を回避できます。」

ObjCShellzや類似の亜種は、Macユーザーにとって深刻な脅威となる可能性があります。しかし、身を守る方法はいくつかあります。

1. 最も重要なのは、メールの添付ファイルを開く際、特に送信者が不明な場合は注意することです。マルウェアは、感染した添付ファイルを介して侵入する可能性があります。
2.  macOSの最新バージョンと、それに付随するセキュリティパッチをすべて適用し、確実に実行してください。これにより、マルウェアが悪用する可能性のある既知の脆弱性への対処に役立ちます。
3.  評判の良いウイルス対策ソフトとマルウェア対策ソフトをMacにインストールし、悪質なウェブサイトを検知・ブロックしましょう。ObjCShellzは検知されずに侵入してくる可能性はありますが、Macには常に追加の防御層を設けることをお勧めします。

Jamf による新しいマルウェアの亜種に関する完全なレポートと侵害の兆候は、こちらでご覧いただけます。

havebin.com を Google ニュース フィードに追加します。