IntegoTips Mac、Windows、そしてLinuxを狙うクロスプラットフォームのバックドアマルウェア

こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。

SysJoker:

Mac、Windows、そしてLinuxを狙うクロスプラットフォームのバックドアマルウェア
（この記事は、2022年1月13日にJoshuaLong
（https://www.intego.com/mac-security-blog/author/joshlong/）
によってMacSecurity Blogに投稿された
SysJoker: Cross-Platform Backdoor Malware for Mac,Windows, and Linuxの翻訳です）

SysJokerは、最近発見されたMacを狙うマルウェアファミリーの一つです。
ただし、SysJokerはMacだけでなくWindowsやLinuxを実行するPCにも感染
するクロスプラットフォームのマルウェアです。

Integoは、このマルウェアの複数の構成要素をOSX/SysJoker.gen、
OSX/SysJoker.lct、Linux/SysJoker.A、そしてWin32/SysJoker.Aとして検出します。

この新しい脅威の特徴を見てみましょう。

■SysJokerは、どのように発見されたのか

Intezer（https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/）は、
SysJokerは「著名な教育機関のLinuxを使用するウェブサーバに対する激しい
攻撃の中で初めて見つかりました」とします。

MacおよびWindowsを狙う亜種は、その後に見つかったのです。このマル
ウェアが見つかったのは2021年12月ですが、同年後半のもっと早い時期から
稼働していた可能性があります。

■SysJokerに感染するとどうなるのか

SysJokerは、オペレーティングシステムのアップデート機能になりすまして
いますが、実際には感染したコンピュータからMACアドレス、ユーザ名、
そしてIPアドレスなど特定の情報を収集することがこれまでにわかっています。
そのため、その本来の目的は諜報活動、つまり被害者をスパイすることだと
考えられます。

macOS

SysJokerの基本となるコンポーネントは、TypeScript
（https://en.wikipedia.org/wiki/TypeScript）あるいはMPEGトランスポートスト
リーム（https://en.wikipedia.org/wiki/MPEG_transport_stream）ビデオファイルに
偽装され、types-config.tsと名付けられています。このファイルは、チップが
IntelでもApple独自のチップであるM1チップでも感染できるユニバーサル
Mach-O（https://en.wikipedia.org/wiki/Mach-O）バイナリです。

このマルウェアは、コンピュータの再起動後も積極的に感染し続けるための
技術を搭載しています。コマンド&コントロール（C&C）サーバーと通信できる
ため、追加の命令を受け取ったり、いつでも追加のコンポーネントをダウン
ロードして機能をアップグレードすることができます。

■SysJoker、あるいは他の脅威を除去する方法

残念なことに、AppleがmacOSに搭載する公証、Gatekeeper、XProtect、そして
MRTといった脅威を排除するための機能は、多くの脅威に対応できていません。
そのため、AppleによるmacOS保護機能だけでは不十分と言わざるを得ません。

関連記事: Do Macs need antivirus

software?（https://www.intego.com/mac-security-blog/do-macs-need-antivirus-software/）

IntegoのMac Premium Bundle X9やMac Internet Security

X9（https://www.act2.com/integostore）に含まれているIntego VirusBarrier

X9は、SysJokerマルウェアを検出および除去します。VirusBarrierは、Macの
専門家によって開発され、Appleの保護機能よりも多くのマルウェアからMacを
保護します。

お使いのMacが感染していると思われる場合、あるいは今後の感染から保護
したい場合は、IntegoVirusBarrierX9のようなリアルタイムスキャン機能を持ち、
信頼できるMac用のメーカが提供するアンチウイルスソフトウェアの導入を
検討してください。なお、VirusBarrierX9ならM1チップにネーティブなマルウェアや

クロスプラットフォームのマルウェアなどからもMacを守れます。ちなみに、Integoは

最近のAV-Comparatives

（https://www.av-comparatives.org/tests/mac-security-test-review-2021/#intego）
およびAV-TEST
（https://www.av-test.org/en/antivirus/home-macos/macos-bigsur/june-2021/intego-virusbarrier-10.9-215205/）
という２つの独立系の試験でMacを狙うマルウェアの検出率100%を記録しています。

注意: 古いMac OS XでVirusBarrier

X8、X7、あるいはX6を使うIntegoのユーザも、この脅威から保護されます。
とはいえ、Appleが提供する最新のセキュリティアップデートをお使いのMacに
適用するためにも常にmacOSを最新バージョンにアップグレードした上で、
最新のVirusBarrierを使うことをお勧めします。

■SysJokerが利用するドメインから現時点でわかること

Patrick

Wardleが指摘したように、このマルウェアがC&Cサーバとして使っていると
考えられるgraphic-updater[.]comというドメインは、23.254.131[.]176という
IPアドレスに解決されます。この火曜日の時点では、ブラウザでこのIPアド
レスに接続すると、次の図のようにウェブサーバに保管されているファイルの
一覧が表示されます:

https://www.intego.com/mac-security-blog/wp-content/uploads/2022/01/SysJoker-CC-server.png

興味深いのは、このサーバで実行されているApacheのバージョンが2.4.41と
いうことです。このApacheのバージョンは、元々2019年8月に公開されており、
多くの既知の脆弱性が存在します。そのため、マルウェアの開発者あるいは
配布者が、C&Cサーバとして悪用するために誰か別人のサーバをハッキング
して乗っ取ったということもあり得ます。

この木曜日の時点では、このIPアドレスでホストされているHTTPサーバは
オフラインになっています。さらに、Windowdsを狙うマルウェアを提供して
いたgithub[.]url-mini[.]comというサーバも今はオフラインで、GoogleもC&Cに
関連した２個のテキストファイルをGoogleDriveから除去したようです。

■セキュリティ侵害インジケータ（Indicators of compromise: IoC）

Macを狙う多くのマルウェアと異なり、このマルウェアはAppleが発行した
開発者IDで署名されていません。代わりに、types-config.tsファイルは
test-555549448174817ef4cf398d975b7860466eaec7という識別子による
アドホック署名を使っています。

以下のSHA-256ファイルハッシュは、このマルウェアキャンペーンと関連する
既知のSysJokerファイルのものです:

1a9a5c797777f37463b44de2b49a7f95abca786db3977dcdac0f79da739c08ac  macOS

a26c69d3221eaca93eb29f3c7b67bcccbaca18595211efd8a73324f0519e51e3* macOS

bd0141e88a0d56b508bc52db4dab68a49b6027a486e4d9514ec0db006fe71eed  Linux

d028e64bf4ec97dfd655ccd1157a5b96515d461a710231ac8a529d7bdb936ff3  Linux

1ffd6559d21470c40dcf9236da51e5823d7ad58c93502279871c3fe7718c901c  Windows

61df74731fbe1eafb2eb987f20e5226962eeceef010164e41ea6c4494a4010fc  Windows

*Integoによって初めて報告されたハッシュ

感染したMac上では、次のファイルとフォルダが見つかる可能性があります:

/Library/LaunchAgents/com.apple.update.plist

/Library/MacOsServices

/Library/MacOsServices/updateMacOs

/Library/SystemNetwork

~/Library/LaunchAgents/com.apple.update.plist

~/Library/MacOsServices

~/Library/MacOsServices/updateMacOs

~/Library/SystemNetwork

上の ~

記号は、例えば「/Users/username」のようなユーザのホームフォルダを
意味します。

次のドメイン、IPアドレス、そしてGoogle

Driveに保管されているファイルが、このマルウェアと関連していると考えら
れます。ネットワーク管理者は、2021年12月から現在までにネットワーク内の
コンピュータがこれらのサイトにコンタクトしたか調べると良いでしょう。

23.254.131[.]176

bookitlab[.]tech

github[.]url-mini[.]com

graphic-updater[.]com

office360-update[.]com

winaudio-tools[.]com

drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn

drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QAeBQu-ePr537eu

■SysJokerの別名

他のセキュリティソフトウェアのメーカでは、このマルウェアキャンペーンの
名称に次のような名前を含める可能性があります:

Backdoor:MacOS/SysJoker.A、Backdoor.Linux.SYSJOKER.YXCALZ、
Backdoor.OSX.SysJoker.gen、Backdoor.SysJoker!1.DB62、
Backdoor/OSX.Agent.360176、Backdoor/W32.SysJocker、
BehavesLike.Win32.Vundo.ch、BScope.Trojan.Occamy、E64/SysJoker.A、
ELF:Joker-A[Trj]、Linux.BackDoor.SysJoker、LINUX/Agent.roatu、
LINUX/Agent.xbpol、Linux/SysJoker.A!tr、Linux/SysJokr-A、
Mac.BackDoor.SysJoker.1、MacOS:Joker-A[Trj]、MacOS/SysJoker.A、
Mal/Generic-S + Troj/DwnLd-VP、Mal/Generic-S +

Troj/Steal-CFG、Osx.Backdoor.Sysjoker.Ahog、OSX.S.Agent.360176、
OSX/SysJoker.A!tr、RDN/Sysjoker、TR/Dldr.Agent.rukwx、TR/Redcap.rjsiq、
Trj/GdSda.A、TROJ_FRS.VSNTAC22、Trojan-Downloader.SysJoker、
Trojan:Linux/Vigorf.A、Trojan:Win32/Casdet!rfn、Trojan.Agent.SysJocker、
Trojan.Linux.OUTBREAK.USELVAC22、Trojan.Linux.SysJoker.B、
Trojan.MAC.SysJoker.A、Trojan.OSX.Agent、Trojan.OSX.SysJoker.m!c、
Trojan.Win32.Sysjoker、W32.Trojan.Sysjoker、
そしてWin32/SysJoker.Aです。

株式会社アクト・ツー
Software Product Team
一同